DevOpsナレッジハブ
DevOpsナレッジハブ

SSHセキュリティのベストプラクティス: サーバーとクライアントの強化

この包括的なガイドでは、SSH接続に不可欠なセキュリティベストプラクティスを概説します。パスワード認証を無効にし、デフォルトポートを変更し、アクセスを制限することによってサーバーを強化する方法を学びます。秘密鍵の保護やホストキーの検証を含む、重要なクライアント側の習慣を発見します。また、不正侵入からリモートアクセスを保護するための2要素認証やFail2banのような高度な対策についても説明します。

43 ビュー

SSHセキュリティのベストプラクティス:サーバーとクライアントの強化

セキュアシェル(SSH)は、システム管理者や開発者にとって不可欠なツールであり、サーバーやその他のネットワークデバイスへの安全なリモートアクセスを可能にします。SSHはデフォルトで堅牢な暗号化を提供しますが、サーバー側とクライアント側の両方で一連のベストプラクティスを実装することにより、そのセキュリティを大幅に強化できます。この記事では、SSH接続を強化し、一般的な脆弱性から保護し、不正アクセスを防ぐために設計された重要なセキュリティ対策について詳しく説明します。

SSHセキュリティを無視すると、システムがブルートフォース攻撃、中間者攻撃、不正なデータ侵害にさらされる可能性があります。以下に概説するプラクティスを採用することで、セキュリティ体制を大幅に強化し、リモート操作の整合性と機密性を確保できます。

サーバー側のセキュリティ強化

安全なリモートアクセスの基盤を確立するには、SSHサーバー(sshd_config)の設定が最も重要です。これらの変更は、クライアントがサーバーに接続し、認証する方法に直接影響します。

1. パスワード認証の無効化

パスワード認証は、本質的にブルートフォース攻撃に対して脆弱です。これをSSH鍵ベース認証に置き換えることは、実行できる最も効果的なセキュリティ強化策の1つです。

  • 理由: SSHキーはパスワードよりもはるかに複雑であり、ブルートフォース手法によって容易に推測されたりクラックされたりすることはありません。これらははるかに強力な認証形態を提供します。

  • 方法: sshd_configファイル(通常は/etc/ssh/sshd_configにあります)を編集し、PasswordAuthentication noを設定します。変更を加えたら、SSHサービスを再起動します。

    ```bash
    sudo systemctl restart sshd

    または古いシステムでは:

    sudo service ssh restart
    ```

    重要: パスワード認証を無効にするに、SSH鍵ベース認証が正常に設定され、テストされていることを確認し、ロックアウトされるのを避けてください。

2. 非標準ポートの使用

洗練された攻撃者に対する主要なセキュリティ対策ではありませんが、デフォルトのSSHポート(22)を変更すると、脆弱なサーバーをスキャンする自動化されたボットからのノイズを減らすことができます。

  • 方法: sshd_configPortディレクティブを変更します。たとえば、ポート2222を使用するには、次のようにします。

    Port 2222

    新しいポートでのトラフィックを許可するようにファイアウォールルールを更新し、クライアントから接続する際にポートを指定することを忘れないでください。

    bash ssh -p 2222 user@your_server_ip

3. ユーザーおよびグループアクセスの制限

SSH経由でのログインを許可するユーザーとグループを制御します。

  • AllowUsersAllowGroups sshd_configでこれらのディレクティブを使用して、接続できるユーザーを明示的に指定します。
    AllowUsers admin user1 AllowGroups sshusers
  • DenyUsersDenyGroups あるいは、これらを使用して特定のユーザーまたはグループをブロックします。

4. rootログインの無効化

攻撃者が最も強力なアカウントをすぐに標的にするのを防ぐために、SSH経由でのroot直接ログインを無効にする必要があります。代わりに、ユーザーは自分のアカウントでログインし、管理タスクにはsudoを使用する必要があります。

  • 方法: sshd_configPermitRootLogin noを設定します。

5. アイドルタイムアウトとキープアライブの設定

放置されたアクティブなSSHセッションが永久に開いたままになるのを防ぎます。

  • ClientAliveIntervalClientAliveCountMax これらのサーバー側の設定は、接続がまだアクティブかどうかを確認するために、定期的にクライアントにNULLパケットを送信します。クライアントがClientAliveCountMax回の試行後に応答しない場合、サーバーはセッションを切断します。
    ClientAliveInterval 300 # 5分ごとにパケットを送信 ClientAliveCountMax 2 # 2回の応答がない場合に切断(10分後)

6. プロトコル2のみの有効化

SSHプロトコルバージョン1は古く、既知のセキュリティ脆弱性があります。プロトコル2のみが有効になっていることを確認してください。

  • 方法: sshd_configProtocol 2を設定します。

7. ホストキーの強化

サーバーのホストキーが保護され、適切に管理されていることを確認します。

  • パーミッション: ホストキーファイル(例:/etc/ssh/ssh_host_rsa_key)が制限的なパーミッション(例:600)を持ち、rootが所有していることを確認します。

クライアント側のセキュリティのベストプラクティス

クライアントマシンの保護とSSHキーの保護は、サーバー側の強化と同じくらい重要です。

1. プライベートキーの保護

SSHプライベートキーはサーバーへのゲートウェイです。細心の注意を払って扱ってください。

  • パーミッション: プライベートキーファイル(例:~/.ssh/id_rsa)に厳密なパーミッション(例:600または400)を設定し、あなただけが読み取れるようにします。
    bash chmod 600 ~/.ssh/id_rsa
  • パスフレーズ: プライベートキーを暗号化するために、必ず強力なパスフレーズを使用してください。これにより、キーファイルが侵害された場合でもパスフレーズが必要になり、追加のセキュリティ層が追加されます。
  • コピーの回避: プライベートキーを誰とも共有したり、安全でない場所に保存したりしないでください。

2. SSHエージェントフォワーディングの慎重な使用

SSHエージェントフォワーディングを使用すると、プライベートキーをそれらのサーバーにコピーすることなく、ローカルのSSHキーを使用してリモートサーバーに認証できます。便利ですが、リモートサーバーが侵害された場合、セキュリティリスクになる可能性があります。

  • 有効化: ssh -A user@your_server_ip
  • ベストプラクティス: エージェントフォワーディングは絶対に必要な場合にのみ使用し、できるだけ早く切断してください。クライアント設定でデフォルトで無効にすることを検討してください。

3. ホストキーのフィンガープリントの検証

SSHサーバーに初めて接続するとき、クライアントはサーバーのホストキーのフィンガープリントの検証を求めます。これは中間者攻撃を防ぐのに役立ちます。

  • 方法: フィンガープリントを常に信頼できるソース(例:ホスティングプロバイダーまたはシステム管理者が提供するもの)と照合してください。後続の接続でフィンガープリントが予期せず変更された場合は、セキュリティ上の問題を示している可能性があります。

4. SSHクライアントソフトウェアの最新状態の維持

最新のセキュリティパッチと機能の恩恵を受けるために、SSHクライアントソフトウェア(OpenSSH、PuTTYなど)を最新の状態に保ってください。

高度なセキュリティ対策

基本的な手順を超えて、次の高度な手法を検討してください。

1. 二要素認証(2FA)

追加のセキュリティ層として2FAを実装します。これには通常、何かを知っているもの(SSHキーまたはパスワード)と持っているもの(認証アプリまたはハードウェアトークンからのコード)の組み合わせが含まれます。

  • ツール: Google Authenticator、Duo Security、またはハードウェアトークンをPAM(Pluggable Authentication Modules)と統合してSSHで使用できます。

2. Fail2ban

Fail2banは、侵入防止ソフトウェアフレームワークであり、ログファイル(例:/var/log/auth.log)をスキャンし、悪意のある兆候(パスワードの失敗が多すぎる、エクスプロイトの検索など)を示すIPアドレスをBANします。指定された期間、IPを拒否するようにファイアウォールルールを更新します。

  • インストール: 通常、パッケージマネージャー(sudo apt install fail2banまたはsudo yum install fail2ban)を介して利用可能です。
  • 設定: /etc/fail2ban/jail.localで「Jail」を設定し、SSHログを監視し、BAN時間としきい値を定義します。

3. ファイアウォール設定

ファイアウォール(ufwfirewalldiptablesなど)を使用して、SSHポート(デフォルトかカスタムかに関わらず)へのアクセスを信頼できるIPアドレスまたは範囲のみに制限します。

  • 例(ufw):
    bash sudo ufw allow from trusted_ip to any port 22 sudo ufw enable

結論

SSH接続のセキュリティ保護は、一度きりの設定ではなく継続的なプロセスです。これらのサーバー側およびクライアント側のベストプラクティスを熱心に適用することにより、リモートアクセスに関連するリスクを大幅に軽減できます。SSH鍵認証、堅牢なアクセス制御、およびFail2banのような監視ツールを優先することが、安全なSSH環境の基盤を形成します。セキュリティ設定を定期的にレビューおよび更新することで、進化する脅威からシステムが保護され続けることを保証します。