SSH 보안설정

1) 사용자 계정 생성

ssh로 접근할 사용자를 생성해준 뒤에, 패스워드도 설정해줍니다.

# useradd ssh_user
# passwd ssh_user
ssh_user 사용자의 비밀 번호 변경 중
새 암호:
새 암호 재입력:
passwd: 모든 인증 토큰이 성공적으로 업데이트 되었습니다.

 

2) ssh_config 파일 변경

# vi /etc/ssh/sshd_config

– 기존 SSH 포트의 경우 22번 포트로 설정되어있습니다.

22번 포트로 설정해 놓을 경우, 무작위공격을 시도할 수 있습니다. 그렇기 때문에 해당 포트를 변경하는 것이 좋습니다.

#Port 22
Port 22000

– 초기 설정으로 ssh root 로그인을 허용해놓기 때문에, 바로 root로 접근이 가능합니다.

root로 로그인이 허용되게 되면 시스템의 권한이 탈취당하기 때문에 접근하는 것을 막을 수 있습니다.

#PermitRootLogin yes
PermitRootLogin no

– ssh의 경우 모든 사용자가 접근이 가능하지만, 특정 사용자만 접근 가능하게 설정할 수 있습니다.

위에 만들어준 사용자 계정만을 생성하기 위해, 해당 사용자만 ssh접근을 사용할 수 있도록 써 놓았습니다.

AllowUsers ssh_user

 

3) 방화벽 설정 및 SSH 재시작

ssh 포트를 변경해주었으므로, 방화벽에서도 해당 포트로 접근하는 것을 허용시켜주어야 합니다.

방화벽 설정을 바꾼뒤에는, SSH를 재시작합니다.

# vi /etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 22000 -j ACCEPT
# service iptables restart

# service sshd restart

SSH로 무작위로 들어오는 방법을 막기 위한 방법으로는 위와 같이 보안설정을 하는 방법도 있지만, fail2ban으로 막을 수도 있습니다.

해당 방법에 대해서는 나중에 다시 글 올리겠습니다.