 Re: SSHセキュリティ強化について ( No.1 ) |
 |
- ????????? 2006/08/25 03:54
- ????????? Johann
- ?????§??? http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html
-
hosts.denyにsshd: ALLと書いたらクライアントからSSH接続は出来ますか?
|
| Re: SSHセキュリティ強化について ( No.2 ) |
|
- ????????? 2006/08/25 08:33
- ????????? KUNI
-
Johannさん、おはようございます。
お返事ありがとうございます。
クライアントPC(192.168.11.92)からWinSCPで接続が無理になっています。
hosts.denyのsshd: ALL を取って保存するとWinSCPで接続が出来るようになります。
wrapperにはSSH以外の設定は行っておりません。
宜しくお願いします。
|
| Re: SSHセキュリティ強化について ( No.3 ) |
|
- ????????? 2006/08/26 18:52
- ????????? KUNI
-
追加ですが
WinSCPだけではなく、Puttyによる接続も不可能となります。
hosts.denyのsshd: ALLを消してから再接続をすると
両方とも無事につながります。
接続をしようとしたら「server unexpectedly closed network connection」
と出てきます。サーバーは不意にネットワークを終了!?と出てきましたので
フィルタリングかな?と思ったので自分のフィルタリングを書いておきます。
ブロードバンドルーター側はTCPは22,25,80,110,443番です。
それ以外は外部からのアクセスは全部拒否しています。
次にiptablesですが
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s $LOCALNET -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -d 224.0.0.1 -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
こんな感じにしております。
宜しくお願いします。
|
| Re: SSHセキュリティ強化について ( No.4 ) |
|
- ????????? 2006/08/27 08:47
- ????????? 管理者
-
iptablesのファイルは「/etc/sysconfig/iptables」ですよね?
可能でしたら、iptablesファイルを削除(リネーム)して、サービス(iptables)を再起動後に「hosts.***」ファイルだけの純粋な「TCP Wrapper」で確認してみて下さい。
|
| Re: SSHセキュリティ強化について ( No.5 ) |
|
- ????????? 2006/08/28 18:46
- ????????? KUNI
-
いつもお返事ありがとうございます。
非常に勉強させてもらってます。
お聞きしたいのですが、iptablesを名前変更しバックアップを取ってiptablesの再起動をかけ
接続すると同じくエラーが出ました。
色々試した結果、
【hosts.deny】
sshd: ALL
【hosts.allow】
sshd: グローバルipアドレス
にすると接続が出来ました。
これは内部LANじゃなくてWANからの接続をOKしている事を意味しますよね?
自分のルーターの接続がおかしいのでしょうか?
バッファローのルーターを使用しているんですが、接続を見たところ
モデムからルーターのWANの穴に接続、サーバー機とクライアント機は
他の1〜4の数字のところにLANケーブルを差しているので
サーバーとクライアントはLANになっている?とは思っているのですが…
またiptablesではSSHは外部からの接続を禁止にしていますが
ちょっと怖さを感じます。
wrapperにグローバルipアドレスを記述するのは内部LANの記述と比べ危険のリスクは高いでしょうか?
外部からリモートするなら外部のグローバルipを許可しないといけないので
仕方ないのでしょうけども……
原因がちょっと分からなくて困惑しています。
|
| Re: SSHセキュリティ強化について ( No.6 ) |
|
- ????????? 2006/08/28 19:04
- ????????? 管理者
-
バッファーローのルーター側の設定で「IP Unnumbered」という機能?(所有していないのではっきりと分かりません)があり、有効にしていたりしていませんか?
外部のG-IPをLANポートに接続されたPCに割り振るような機能だったような気がするのですが・・・
ただ、KUNIさんの場合はサーバ・クライアント共に静的なIP(ローカル)を設定しているんですよね?
クライアント(192.168.11.29)→サーバ(192.168.11.92)に接続できない問題なので今回の事象とは関係なさそうですが。
ちなみに、今回のG-IPからの接続は勿論外部のPCですよね?自宅のクライアント(192.168.11.29)ではないですよね??
何が聞きたいかと言うと、クライアントがDHCPになっていてルータ側(正確にはISP側)からG-IPが割り振れて、ルータの「IP Unnumbered」より外部からの接続になったのではないのかと疑っていたりします(笑)
|
| Re: SSHセキュリティ強化について ( No.7 ) |
|
- ????????? 2006/08/29 02:09
- ????????? KUNI
-
管理人さん、
いつもお世話になっております。
>バッファーローのルーター側の設定で「IP Unnumbered」という機能?(所有していないのではっきりと
>分かりません)があり、有効にしていたりしていませんか?
>外部のG-IPをLANポートに接続されたPCに割り振るような機能だったような気がするのですが・・・
ルーターの設定を見直しましたが有効にはなっていませんでした。
念のためルーターの再起動も行いました!
>ただ、KUNIさんの場合はサーバ・クライアント共に静的なIP(ローカル)を設定しているんですよね?
私のPCの環境は現在固定ipアドレスを取得しており、
【クライアント側】
IPアドレス:192.168.11.92
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.11.1
1番目のDNS:203.141.○○○.33
2番目のDNS:203.141.○○○.34
【サーバー側】
IPアドレス:192.168.11.29
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.11.1
1番目のDNS:203.141.○○○.33
2番目のDNS:203.141.○○○.34
という設定をしております。
【ルーター設定】
IPアドレス:192.168.11.1
サブネットマスク:255.255.255.0
DHCP使用しない
PPPoEクライアント機能を使用する
デフォルトのMACアドレスを使用
DNS(ネーム)サーバアドレス【プライマリ】203.141.○○○.34
DNS(ネーム)サーバアドレス【セカンダリ】203.141.○○○.33
WAN側からのPING応答する
アドレス変換テーブル22番・25番・80番・110番を開ける
UPnP機能使用する
VPNパススルー使用しない
>ちなみに、今回のG-IPからの接続は勿論外部のPCですよね?自宅のクライアント(192.168.11.29)ではないです>よね??
自宅のクライアント192.168.11.92からサーバー192.168.11.29に接続するとG-IPの設定で接続出来ます。
>何が聞きたいかと言うと、クライアントがDHCPになっていてルータ側(正確にはISP側)からG-IPが割り振れて、
>ルータの「IP Unnumbered」より外部からの接続になったのではないのかと疑っていたりします(笑)
ネットワーク自体に不得意な意識が強く間違った事を平気で言ってしまった場合はお許し下さい。
気になった点があるのですが、ルーティングテーブルがどうも静的じゃないのかもしれないです。
以下ルーティングテーブルの状態を記述します。
ルーティングテーブルの表示
フラグ ネットワークアドレス サブネットマスク ゲートウェイ インタフェース
C 192.168.11.0 255.255.255.0 ダイレクト LAN
C - ダイレクト接続, S - 静的ルーティング, R - RIP(動的ルーティング), I - ICMPリダイレクト
このような感じになっております。
確実な理解があってのセッティングではなく、不安を持ってのセッティングなので
どこか間違いがあるのかもしれません。
|
| Re: SSHセキュリティ強化について ( No.8 ) |
|
- ????????? 2006/08/29 06:51
- ????????? 管理者
-
>> ただ、KUNIさんの場合はサーバ・クライアント共に静的なIP(ローカル)を設定しているんですよね?
> 私のPCの環境は現在固定ipアドレスを取得しており、
:
:
>> ちなみに、今回のG-IPからの接続は勿論外部のPCですよね?自宅のクライアント(192.168.11.29)ではないです>よね??
> 自宅のクライアント192.168.11.92からサーバー192.168.11.29に接続するとG-IPの設定で接続出来ます。
私の理解が悪くて申し訳ありません・・・
ローカルPC(ローカルIP)からローカルサーバにアクセスした時に、何故G-IPになってしまうのでしょうか?
また、取得した固定IPは何処に割り振っておられるのでしょうか?
|
| Re: SSHセキュリティ強化について ( No.9 ) |
|
- ????????? 2006/09/01 00:32
- ????????? KUNI
-
管理人様、ありがとうございます。
ここ数日LANについてもう一度見直していました。
設定方法についても1からやりなおしをしてみましたが、やはり以前として解決に至っていません。
>ローカルPC(ローカルIP)からローカルサーバにアクセスした時に、何故G-IPになってしまうのでしょうか?
>また、取得した固定IPは何処に割り振っておられるのでしょうか?
取得した固定IPというのはISPでしょうか?
LANでしょうか?
LANの場合ですとルーターからクライアントとPCそれぞれのTCP/IPに振っています。
もしやと思い、PINGを送信しましたがクライアントからサーバーに
サーバーからクライアントに両方通っているようです。
ISPから頂いた固定IPは203.○○○.146.149で
各DNSは203.○○○.128.34と203.○○○128.33で
Windows側、Linux側ともに1番目のDNSを203.○○○.128.34
2番目のDNSを203.○○○.128.33に設定しています。
|
| Re: SSHセキュリティ強化について ( No.10 ) |
|
- ????????? 2006/09/01 00:55
- ????????? KUNI
-
追加です。
Postfixを設置していますが、
クライアント(Windows)のOutlookExpressのPOP3とSMTPのサーバーの設定を192.168.11.29で設定すると
ちゃんと送受信が出来る状態です。(さきほど確認しました。)
この事からやはりLANの設定はちゃんと出来ているようです。
また、Windowsの方でアンチウィルスやファイヤーウォールを入れていますが
WinSCPの接続については解除しています。(確認済みです。)
|
| Re: SSHセキュリティ強化について ( No.11 ) |
|
- ????????? 2006/09/01 07:48
- ????????? 管理者
-
>> また、取得した固定IPは何処に割り振っておられるのでしょうか?
> 取得した固定IPというのはISPでしょうか?
> LANでしょうか?
書き込み不足で申し訳ありません。ISPからのG-IPです。
SSH接続に戻りますが、もしかしてサーバにアクセスの際、ドメイン名でアクセス(ホスト名)しようとしてませんか?
ローカルIPで接続を試してみましたか?
|
| Re: SSHセキュリティ強化について ( No.12 ) |
|
- ????????? 2006/09/01 22:11
- ????????? KUNI
-
管理人様、いつもお世話になっております。
>SSH接続に戻りますが、もしかしてサーバにアクセスの際、
>ドメイン名でアクセス(ホスト名)しようとしてませんか?
>ローカルIPで接続を試してみましたか?
ホスト名がドメインになっていました。(恥)
ホスト名をクライアントのLANアドレスに変更したところ上手く接続が出来ました。
こんなことでお手数をおかけして頭があがりません。
本当にありがとうございました。
|
このスレッドはクローズされています。記事の閲覧のみとなります。
SSHセキュリティ強化について