SSHサーバーを保護(hù)するには、強(qiáng)力な認(rèn)証を?qū)g裝し、アクセスを制限し、デフォルト設(shè)定を変更し、ファイアウォールルールを構(gòu)成し、システムを更新します。まず、PassPhraseでSSHキーペアを有効にし、公開キーをauthorized_keysにアップロードした後、パスワード認(rèn)証を完全に無効にします。第二に、PermitRootLogin NOを設(shè)定してルートログインを制限し、AlowusersまたはAllowgroupsを使用して特定のユーザーまたはグループのみを許可します。第三に、sshd_configでデフォルトのSSHポートを22から2222のようなカスタムポートに変更し、それに応じてファイアウォールルールを調(diào)整します。第4に、UFWなどのファイアウォールを使用して、信頼できるIPSからのみSSH接続を許可し、ReaL2Banなどのツールを使用してレート制限を適用して、繰り返しログイン試行をブロックします。最後に、sudo apt update && sudo aptアップグレードを介してOSおよびSSHパッケージを定期的に更新し、既知の脆弱性から保護(hù)する自動(dòng)更新を有効にします。

SSHサーバーを保護(hù)することは、システムを不正アクセスから保護(hù)するために不可欠です。 SSH自體は安全なプロトコルですが、誤った不明瞭さまたは弱いプラクティスはサーバーを攻撃にさらす可能性があります。 SSHのセットアップを強(qiáng)化するために実行できる実用的な手順をいくつか紹介します。

強(qiáng)力な認(rèn)証方法を使用します

最初にすべきことの1つは、パスワードベースの弱い認(rèn)証から離れることです。

• SSHキーペアを有効にする- パスワードを推測(cè)またはブルート強(qiáng)化することができます。パブリック/プライベートキーペアを使用すると、はるかに高いレベルのセキュリティが追加されます。

  • ssh-keygenを使用して強(qiáng)力なキーペアを生成します
  • 秘密鍵のパスフレーズを設(shè)定します
  • サーバーの~/.ssh/authorized_keysファイルに公開キーをアップロードします

• パスワードログインを完全に無効にします
  ssh config（ /etc/ssh/sshd_config ）で、set：

   PasswordAuthentication no

パスワードを無効にする前に、公開キーを追加していることを確認(rèn)してください。そうしないと、ロックアウトする場(chǎng)合があります。

ユーザーアクセスとログインオプションを制限します

SSHアクセスは、それを必要とする人にのみ許可されるべきです。

• ルートログインを制限します
  ルートアカウントには完全な制御があるため、SSH経由の直接ログインを許可するとリスクがあります。代わりに、それを無効にします：

   permitrootlogin no

• 特定のユーザーのみを許可します
  sshd_configのAllowUsers指令を使用して、既知のアカウントへのSSHアクセスを制限します。

   Allowusers user1 user2

• グループを使用してアクセスを管理します
  グループごとにログインを許可することもできます。

   Gloups sshusersを許可します

これにより、複數(shù)の人がアクセスする必要がある場(chǎng)合、権限の管理が容易になります。

デフォルトのSSHポートを変更します

ポート22でSSHを?qū)g行することは標(biāo)準(zhǔn)です。つまり、攻撃者の最初のターゲットでもあります。ポートを変更すると、決定されたハッカーが停止しませんが、自動(dòng)スキャンによるノイズが減少します。

sshd_configでは、変更：

ポート2222

次に、ファイアウォールがそのポートのトラフィックを許可することを確認(rèn)します。この小さな調(diào)整は、ボットネットログインの試みを大幅に削減できます。

ファイアウォールルールとレートの制限を設(shè)定します

優(yōu)れたSSH設(shè)定であっても、サーバーは繰り返しログインの試みにさらされる可能性があります。

• ファイアウォールを使用します（UFWやIPTABLESなど）
  可能であれば、信頼できるIP範(fàn)囲からSSH接続を許可します。

   UFWは、192.168.1.0/24からポート2222に許可します

• レート制限接続の試み
  fail2banモニターログやブロックIPSなどのツールは、ログインの試みに繰り返された後のブロックIPS。インストールして構(gòu)成するのは簡(jiǎn)単で、ブルートフォース攻撃から保護(hù)するのに役立ちます。

単純なfail2banルールは、數(shù)分間疑わしいアクティビティをブロックする可能性があります。多くの場(chǎng)合、ほとんどのスクリプトを阻止するのに十分です。

システムとSSHを更新してください

時(shí)代遅れのソフトウェアは、攻撃者がアクセスする最も簡(jiǎn)単な方法の1つです。

• OSとSSHパッケージを定期的に更新します。

   sudo apt update && sudo aptアップグレード

• セキュリティメーリングリストを購(gòu)読するか、 unattended-upgradesなどのツールを使用して、重要なパッチを自動(dòng)的に適用します。

OpenSSHの古いバージョンには深刻な脆弱性がありました。更新されたままで保護(hù)されています。

それは基本的にそれです。これらの手順はそれほど複雑ではありませんが、SSHサーバーの保護(hù)に大いに役立ちます。ポートを変更するなど、小さな調(diào)整がありますが、キーを使用したりアクセスを制限するなどの微調(diào)整は基礎(chǔ)となっています。少しの努力により、後で多くのトラブルを防ぐことができます。

以上がSSHサーバーを保護(hù)するためのベストプラクティスは何ですか？の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。