SSHの不正アクセス対策としてfail2banを入れています。とはいえ、これがマシンリソースを喰うので根本的な設定を行いました。

環境

  • Ubuntu 24.04

作業の前に

SSHを前提としているサーバの場合は

  • 直接コンソールで切り戻しができるようにしておく
  • VPS等はスナップショットでリカバリができるようにする

ことが大前提です。

また、鍵交換での手順です。パスワード認証でこの設定を行うと接続ができなくなります。

さっくりとした手順

  1. SSHの設定ファイルのバックアップを取ります。
  2. 設定を変更します。
  3. 設定を反映し、確認を行います。

設定ファイルのバックアップ

sudo cp -pi /etc/ssh/sshd_config /path/to/backup/directory/sshd_config.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

ファイルのバックアップ確認

diff -u /path/to/backup/directory/sshd_config.$(date +%Y%m%d) /etc/ssh/sshd_config

エラーがなければ(差分がなければ)バックアップできています。

sedによるファイル書き換え

echo -e "\nPermitRootLogin no\nPasswordAuthentication no\nAllowUsers user1" | sudo tee -a /etc/ssh/sshd_config

user1の部分は「実際にSSH接続を行うアカウント」を指定します。

user1 user2

のように、スペースで区切って複数のアカウントを指定することが可能です。

ファイル書き換え確認

diff -u /path/to/backup/directory/sshd_config.$(date +%Y%m%d) /etc/ssh/sshd_config

以下のような差分を確認します。

+PermitRootLogin no
+PasswordAuthentication no
+AllowUsers user1
  • rootのログインを禁止する
  • パスワード認証を禁止して鍵交換方式のミニする
  • user1のみアクセス可能にする

設定反映

SSH接続で修正をしている場合、別にターミナルクライアントを立ち上げておきます。

sudo systemctl restart ssh.service

設定反映確認

  1. 新たにターミナルクライアントを立ち上げて、指定したユーザーでログインできること
  2. 指定していないユーザーではログインできない
  3. rootでのログインはできない
  4. パスワード認証ができない

ことを確認します。また、

sudo reboot

を行い、サーバ再起動でも同じ挙動を確認します。

接続できない場合の切り戻し

スナップショットからイメージを復元します。

または、直接コンソールを開き、

sudo cp -pi /path/to/backup/directory/sshd_config.$(date +%Y%m%d) /etc/ssh/sshd_config

として設定を切り戻し、

sudo systemctl restart ssh.service

を実施します。