SSHセキュリティ強化について

このスレッドはクローズされています。記事の閲覧のみとなります。

SSHセキュリティ強化について

æ¥æï¼ 2006/08/24 21:44
ååï¼ KUNI

①不明点・障害内容： ②ログの有無： (有：その内容)： ③Distribution ：fedora core Version：5 ④Service Name ： Version： ⑤ネットワーク構成：サーバー機192.168.11.92 クライアント192.168.11.29 こんにちは。以前から何度か書き込みさせてもらってます。 SSHのセキュリティの設定でwrapperに hosts.denyにsshd: ALLを設定した所、Winscpでの接続が出来なくなりました。ルーターが192.168.11.1なので hosts.allowにはsshd: 192.168.11.で設定しています。 hosts.denyのALLを削除し保存するとWinSCPに接続が可能となる現象ですが心当たりある原因はありませんでしょうか？宜しくお願い致します。先日iptablesを設定しましたがポート22番は開いております。また、ルーターの方でも開けておりますのでポート確認でもOPEN表示されております。

Page: [1] [2] [3]

■ コンテンツ関連情報

Re: SSHセキュリティ強化について ( No.1 )

æ¥æï¼ 2006/08/25 03:54
ååï¼ Johann
参照： http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

hosts.denyにsshd: ALLと書いたらクライアントからSSH接続は出来ますか？

Re: SSHセキュリティ強化について ( No.2 )

æ¥æï¼ 2006/08/25 08:33
ååï¼ KUNI

Johannさん、おはようございます。お返事ありがとうございます。クライアントPC(192.168.11.92)からWinSCPで接続が無理になっています。 hosts.denyのsshd: ALL を取って保存するとWinSCPで接続が出来るようになります。 wrapperにはSSH以外の設定は行っておりません。宜しくお願いします。

Re: SSHセキュリティ強化について ( No.3 )

æ¥æï¼ 2006/08/26 18:52
ååï¼ KUNI

追加ですが WinSCPだけではなく、Puttyによる接続も不可能となります。 hosts.denyのsshd: ALLを消してから再接続をすると両方とも無事につながります。接続をしようとしたら「server unexpectedly closed network connection」と出てきます。サーバーは不意にネットワークを終了！？と出てきましたのでフィルタリングかな？と思ったので自分のフィルタリングを書いておきます。ブロードバンドルーター側はTCPは22,25,80,110,443番です。それ以外は外部からのアクセスは全部拒否しています。次にiptablesですが iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s $LOCALNET -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -d 255.255.255.255 -j DROP iptables -A INPUT -d 224.0.0.1 -j DROP iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp --dport 110 -j ACCEPT こんな感じにしております。宜しくお願いします。

Re: SSHセキュリティ強化について ( No.4 )

æ¥æï¼ 2006/08/27 08:47
ååï¼ 管理者

iptablesのファイルは「/etc/sysconfig/iptables」ですよね？可能でしたら、iptablesファイルを削除(リネーム)して、サービス(iptables)を再起動後に「hosts.***」ファイルだけの純粋な「TCP Wrapper」で確認してみて下さい。

Re: SSHセキュリティ強化について ( No.5 )

æ¥æï¼ 2006/08/28 18:46
ååï¼ KUNI

いつもお返事ありがとうございます。非常に勉強させてもらってます。お聞きしたいのですが、iptablesを名前変更しバックアップを取ってiptablesの再起動をかけ接続すると同じくエラーが出ました。色々試した結果、【hosts.deny】 sshd: ALL 【hosts.allow】 sshd: グローバルipアドレスにすると接続が出来ました。これは内部LANじゃなくてWANからの接続をOKしている事を意味しますよね？自分のルーターの接続がおかしいのでしょうか？バッファローのルーターを使用しているんですが、接続を見たところモデムからルーターのWANの穴に接続、サーバー機とクライアント機は他の1〜4の数字のところにLANケーブルを差しているのでサーバーとクライアントはLANになっている？とは思っているのですが… またiptablesではSSHは外部からの接続を禁止にしていますがちょっと怖さを感じます。 wrapperにグローバルipアドレスを記述するのは内部LANの記述と比べ危険のリスクは高いでしょうか？外部からリモートするなら外部のグローバルipを許可しないといけないので仕方ないのでしょうけども…… 原因がちょっと分からなくて困惑しています。

Page: [1] [2] [3]

■ その他

ページ先頭へ

Re: SSHセキュリティ強化について ( No.1 )
æ¥æï¼ 2006/08/25 03:54 ååï¼ Johann 参照： http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html `hosts.denyにsshd: ALLと書いたらクライアントからSSH接続は出来ますか？`
Re: SSHセキュリティ強化について ( No.2 )
æ¥æï¼ 2006/08/25 08:33 ååï¼ KUNI `Johannさん、おはようございます。お返事ありがとうございます。クライアントPC(192.168.11.92)からWinSCPで接続が無理になっています。 hosts.denyのsshd: ALL を取って保存するとWinSCPで接続が出来るようになります。 wrapperにはSSH以外の設定は行っておりません。宜しくお願いします。`
Re: SSHセキュリティ強化について ( No.3 )
æ¥æï¼ 2006/08/26 18:52 ååï¼ KUNI 追加ですが WinSCPだけではなく、Puttyによる接続も不可能となります。 hosts.denyのsshd: ALLを消してから再接続をすると両方とも無事につながります。接続をしようとしたら「server unexpectedly closed network connection」と出てきます。サーバーは不意にネットワークを終了！？と出てきましたのでフィルタリングかな？と思ったので自分のフィルタリングを書いておきます。ブロードバンドルーター側はTCPは22,25,80,110,443番です。それ以外は外部からのアクセスは全部拒否しています。次にiptablesですが iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s $LOCALNET -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -d 255.255.255.255 -j DROP iptables -A INPUT -d 224.0.0.1 -j DROP iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp --dport 110 -j ACCEPT こんな感じにしております。宜しくお願いします。
Re: SSHセキュリティ強化について ( No.4 )
æ¥æï¼ 2006/08/27 08:47 ååï¼ 管理者 `iptablesのファイルは「/etc/sysconfig/iptables」ですよね？可能でしたら、iptablesファイルを削除(リネーム)して、サービス(iptables)を再起動後に「hosts.***」ファイルだけの純粋な「TCP Wrapper」で確認してみて下さい。`
Re: SSHセキュリティ強化について ( No.5 )
æ¥æï¼ 2006/08/28 18:46 ååï¼ KUNI いつもお返事ありがとうございます。非常に勉強させてもらってます。お聞きしたいのですが、iptablesを名前変更しバックアップを取ってiptablesの再起動をかけ接続すると同じくエラーが出ました。色々試した結果、【hosts.deny】 sshd: ALL 【hosts.allow】 sshd: グローバルipアドレスにすると接続が出来ました。これは内部LANじゃなくてWANからの接続をOKしている事を意味しますよね？自分のルーターの接続がおかしいのでしょうか？バッファローのルーターを使用しているんですが、接続を見たところモデムからルーターのWANの穴に接続、サーバー機とクライアント機は他の1〜4の数字のところにLANケーブルを差しているのでサーバーとクライアントはLANになっている？とは思っているのですが… またiptablesではSSHは外部からの接続を禁止にしていますがちょっと怖さを感じます。 wrapperにグローバルipアドレスを記述するのは内部LANの記述と比べ危険のリスクは高いでしょうか？外部からリモートするなら外部のグローバルipを許可しないといけないので仕方ないのでしょうけども…… 原因がちょっと分からなくて困惑しています。