サーバ、立ち上げたら一番最初にやるべきこと
- 一般ユーザを作る
- 公開鍵を登録する
- ログインユーザの制限
- sudoできるようにする
- rootでのSSHログインを禁止
- そもそもrootユーザを禁止してもいいかも
- root権限がほしいならsuではなくsudoで
- 更に特定のユーザ以外のログインを禁止
- パスワードログインも禁止
- 標準ポートからの変更
- FirewalldでSSH Serviceの設定をコピーして22/tcp以外の適当なポートを開ける
- 上流のF/Wでもそのポートを開ける
- sshdのポート番号をそのポートにする
- ここで一旦netcatで新しいポートに外からアクセスできるか確認する
- SSHでセッションを張ったままでsshdを再起動する
- そのポートでログインできることを確認する
- Firewallの標準ポートのSSH Serviceの設定を無効にする
- そもそも特定の場所以外からの接続を受け付けないようにする
※Firewalldを設定するときは--permanentの挙動に注意すること