DevOpsツールとベストプラクティスの習得 - DevOpsナレッジハブ DevOpsツールとベストプラクティスの習得 - DevOpsナレッジハブ

SSHポート競合:ポートの特定と変更方法

ポート競合によるイライラするSSH接続問題を解決します。このガイドでは、システムコマンド(`ss`/`netstat`)を使用してアクティブなSSHポートを確実に特定する方法と、設定ファイル(`sshd_config`)を安全に変更し、ファイアウォールを更新して新しいポート番号に切り替えるためのステップバイステップの方法を詳しく説明し、ロックアウトを防ぎます。

SSHポート競合:ポートの特定と変更方法

SSHは通常TCPポート22で待ち受けますが、実際のサーバーはそれほど整然としているとは限りません。クラウドイメージではSSHが2222に移動されている場合があります。コンテナホストでは、複数のSSHライクなサービスが異なるポートで公開されている場合があります。セキュリティ強化スクリプトが数ヶ月前にsshd_configを変更している場合があります。または、別のプロセスが既に同じアドレスとポートにバインドしているために、sshdが起動に失敗する場合があります。

ポートの問題は通常、Connection refused(接続が拒否されました)またはConnection timed out(接続がタイムアウトしました)として現れます。この違いは重要です。拒否は通常、ホストに到達したが、そのポートで接続を受け入れるサービスがなかったことを意味します。タイムアウトは通常、ファイアウォール、ルート、セキュリティグループ、またはネットワークパスがトラフィックをドロップしたことを意味します。

SSHポート競合について

ポート競合は、2つの異なるネットワークサービスがまったく同じTCPまたはUDPポート番号で着信接続を待ち受けようとしたときに発生します。特定のIPアドレスの特定のポートには一度に1つのプロセスしかバインドできないため、2番目のサービスは起動に失敗するか、設定されていれば別のポートにフォールバックします。

SSHの場合、真のバインド競合は、sshdが設定されたアドレスとポートで待ち受けできないことを意味します。より一般的な問題はより単純です。SSHがあるポートで待ち受けている一方で、クライアントまたはファイアウォールが別のポートを使用している場合です。

ポートに関連する一般的な接続問題

SSH接続のトラブルシューティングでは、ポートの問題はしばしば次のように現れます。

  1. 接続拒否: これは通常、ターゲットマシンには到達可能だが、指定されたポートでアクティブに待ち受けているサービスがないことを意味します(間違ったポートが使用されたか、SSHサービスが起動に失敗した)。
  2. 接続タイムアウト: これは多くの場合、そのポート宛のトラフィックがファイアウォール(ホストベースまたはネットワークベース)によってブロックされているか、ホスト自体に到達できないことを示します。

ステップ1:現在アクティブなSSHポートを特定する

変更を加える前に、SSHデーモンが実際に使用しているポートを確認する必要があります。これには管理者権限が必要です(通常はコンソールまたは既存の成功した接続を介して)。

A. SSH設定ファイルを確認する

SSH設定の主要な場所はsshd_configファイルです。ポートディレクティブは、sshdが待ち受けるポートを指定します。

場所: /etc/ssh/sshd_config(Linux/Unixシステムで一般的)

nanovimなどのテキストエディタを使用してファイルを確認します。

sudo nano /etc/ssh/sshd_config

Portで始まる行を探します。コメントアウトされている場合、OpenSSHは他のインクルードされた設定ファイルで上書きされない限り、デフォルトポート22を使用します。

#Port 22
Port 2222

インクルードされた設定スニペットも確認します。

grep -R "^[[:space:]]*Port" /etc/ssh/sshd_config /etc/ssh/sshd_config.d 2>/dev/null

B. netstatまたはssで待ち受けソケットを確認する

サービスが現在バインドされているポートを確認する最も確実な方法は、オペレーティングシステムのネットワーク待ち受けソケットを確認することです。現代的なツールはssですが、netstatも広く利用可能です。

ssコマンドを使用する(現代的なシステムで推奨):

このコマンドは、すべてのTCPリスナー(-t)をプロセス情報(-p)とともに表示し、SSHサービス(grep sshd)でフィルタリングします。

sudo ss -tlpn | grep sshd

出力例(デフォルトポート):

LISTEN 0      128    0.0.0.0:22               0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

出力例(カスタムポート2222):

LISTEN 0      128    0.0.0.0:2222             0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

netstatを使用する(代替):

sudo netstat -tulpn | grep sshd

ポート(例:2222)を特定したら、リモートクライアントから接続する際にそのポート番号を使用する必要があります。

ステップ2:SSHポートを安全に変更する

SSHポートの変更は、一般的なセキュリティ強化の手法です。重要なのは、新しい設定が機能することを確認する前にポートを変更しないことです。ロックアウトされるリスクがあります。

A. ポート変更の安全な手順

アクセスを失わないために、以下の手順を正確に実行してください。

  1. ファイアウォールアクセスを確認する: SSHサービスを再起動する前に新しいポートがホストベースのファイアウォール(例:ufwまたはfirewalld)で開いていることを確認します。
  2. 設定を編集する: /etc/ssh/sshd_configを新しいポート番号に変更します。
  3. 設定の構文をテストする: 再起動する前に設定の構文をテストします。
  4. SSHサービスを再起動する: 変更を適用します。
  5. リモート接続をテストする: 別のターミナルセッションから新しいポートを使用してすぐに接続を試みます。
  6. 古いポートルールを削除する(オプション): 確認後、ファイアウォールで古いポート(22)を閉じます。

B. /etc/ssh/sshd_configを変更する

お好みのエディタで設定ファイルを開きます。

sudo nano /etc/ssh/sshd_config

Port行を見つけます。既存の値を変更するか、新しいPortディレクティブのコメントを解除/追加します。22から2222に変更しましょう。

# この行を変更:
Port 2222

ファイルを保存して閉じます。

C. ホストベースのファイアウォールを更新する(重要なステップ)

これをスキップすると、サービス再起動後、接続はタイムアウトで失敗します。

UFWを使用する(Ubuntu/Debian):

# 1. 新しいポートを許可
sudo ufw allow 2222/tcp

# 2. 後で古いポートルールを削除する場合(テスト後):
# sudo ufw delete allow 22/tcp

sudo ufw status verbose

Firewalldを使用する(RHEL/CentOS/Fedora):

# 1. 新しいポートを永続的に許可
sudo firewall-cmd --permanent --add-port=2222/tcp

# 2. ファイアウォールルールをリロード
sudo firewall-cmd --reload

D. SSHデーモンのテストとリロード

変更を適用する前に、常に設定ファイルの構文をテストしてください。

sudo sshd -t

構文が問題なければ、サービスをリロードまたは再起動します。

sudo systemctl reload sshd
# システムが代わりにsshサービス名を使用する場合:
# sudo systemctl reload ssh

次にステータスを確認します。

sudo systemctl status sshd

現在のSSHセッションは開いたままにして、何かを閉じる前に別のターミナルから新しいポートをテストしてください。

E. 新しいポートで接続する

クライアントマシンからは、sshコマンドで-pフラグを使用して新しいポートを明示的に指定する必要があります。

ssh username@your_server_ip -p 2222

接続が成功すれば、ポート変更は機能しています。その後にのみ、古いファイアウォールルールを削除してください。

警告: ポートを変更してもファイアウォールで開くのを忘れたり、sshdのリロードに失敗したりすると、ロックアウトされる可能性があります。コンソール、シリアル、クラウドリカバリ、または他の管理パスを利用できるようにしておいてください。

ポート変更後の接続失敗のトラブルシューティング

ポート変更後にエラーが発生した場合は、次のクイックチェックリストを確認してください。

エラー症状 考えられる原因
接続拒否 1. sshdの起動に失敗した(systemctl status sshdを確認)。2. クライアントコマンドで間違ったポートを指定した。3. ファイアウォールが古いポート(22)へのトラフィックは許可しているが、新しいポート(2222)をブロックしている。
接続タイムアウト 1. ホストがダウンしている。2. ホストファイアウォール(UFW/firewalld)が新しいポートのパケットを積極的にドロップしている。3. ネットワークインフラストラクチャのファイアウォールがポートをブロックしている。

デーモンが待ち受けていることを確認するには、サーバー側でsudo ss -tlpn | grep sshdを再実行します。

ポート変更についてのより安全な考え方

設定ファイルだけを信頼せず、ファイアウォールだけも信頼しないでください。sshd_configが期待するポートを示し、sssshdが実際にそこで待ち受けていることを示し、ファイアウォールまたはクラウドセキュリティグループがそこへのトラフィックを許可しているという3つのレイヤーすべてを確認してください。これら3つが一致すれば、クライアントコマンドは簡単です。

ssh -p 2222 username@your_server_ip

SSHポートを変更すると、ポート22への迷惑な自動スキャンが減る可能性がありますが、これはキー認証、適切なファイアウォールルール、パッチ適用済みシステム、および必要に応じてパスワードログインの無効化の代わりにはなりません。