【ssh】ポート番号を変更しよう
ssh接続を利用する際にはポート番号を変更したほうがよかです。
ポート番号を変更したほうが良い理由
なぜ、ポート番号を変更したほうが良いのか。
それは、セキュリティ強化のためです。
ssh接続ってデフォルトだとポート番号は”22”になっています。
この22が結構危険らしい。
と言うのも、インターネットでは全世界の22番ポートをくまなく調べて、セキュリティホールのあるサーバーが無いかチェックしている危ないロボットがいるそう。
参考:「ssh port 変更 さくら 専用サーバ できない」 などのワードで検索引っかかってこい
ポート番号の変更は、こうした無差別攻撃を簡単に防ぐことができるので、できればというか、必ずやっておきたいですね。
ポート番号の変更方法
ポート番号の変更はいたって簡単です。
設定ファイル/etc/ssh/sshd_config
の中にポート番号の記述があるので、それを変えてあげるだけ。
実際にやっていきます。
1. vimで/etc/ssh/sshd_config
を開きます。
sudo vim /etc/ssh/sshd_config
/etc/ssh/sshd_config
はrootユーザーかsudoコマンドを使って開きます(じゃないと編集できない)
2. ファイルの中にポート番号っぽい記述があるので、コメントアウト#
を外して、お好みの番号に変えてあげます。
#Port 22
今回は、ポート番号を33333に変更してみます。
Port 33333
- ポート番号に指定できるのは0〜65535です。
- ただし、0〜1023を指定するのは避けたほうが良いです。
- これらはウェルノウンポートと言って、特定のサービスやプロトコルで利用されているため、ポート22と同じく攻撃の対象になりやすいという特徴があります。
- ウェルノウンポート(well-knownポート)とは - IT用語辞典 e-Words
3. ポート番号の変更ができたら、ファイルは保存して終了しましょう。
4. sshdを再起動します。
sudo /etc/init.d/ssh restart
このような表示がされればOKです。
estarting ssh (via systemctl): ssh.service
5. ポート番号を未指定で接続を試みた場合どうなるか確認します。
% ssh <ユーザー名>@<接続先のIPアドレス> ssh: connect to host <接続先のIPアドレス> port 22: Connection refused
「ポート22への接続が拒否されました」という表示が出ています。
22番ポートへの接続は無事封鎖されているみたいですね。
6. ポート番号33333で接続できるかチェック。
ssh -p 33333 <ユーザー名>@<接続先のIPアドレス> . . (省略) . . [<ユーザー名>@<ホスト名>] ~ 16:10:40 $
接続先のプロンプトが表示されました!
無事接続に成功しました。
まとめ
今回は、sshのポート番号変更についてでした。
「22番とウェルノウンポートは危ないよ」ということが勉強になりました。
変更方法は非常にシンプルなので、やっておいて損はないですね!