セキュリティを向上させるために、SSHサービスのセキュリティを大幅に強化するいくつかの手順をお勧めします。

1. SSHサービスの設定ファイルに変更を加える

nano /etc/ssh/sshd_config

1.1 デフォルトポートの変更

SSHサービスはデフォルトでポート22を使用していますが、よくアクセスされるため、たとえば2203に変更しましょう。

Port 2203

1.2 rootユーザーからのアクセスを禁止する

まず、通常のユーザーを作成します。

useradd user1
passwd user1

SSHの設定ファイルで以下のように行を確認します。

PermitRootLogin no

1.3 2FAでのみrootとして認証

パスワードが盗まれる可能性があるため、rootユーザーとして認証する際は、2要素認証を実装するのが最適です。詳細は別の記事に記載しています: Debian 12のrootユーザー向けSSHにおける2要素認証の設定

すべての手順が完了した後、サービスを再起動して設定を適用するのを忘れないでください。

service ssh restart

2. iptablesの設定

SSHポートへのアクセスを特定のIPに限定することをお勧めします。

iptables -A INPUT -p tcp --dport 2203 ! -s 89.xxx.186.xxx -j DROP

または

iptables -A INPUT -p tcp --dport 2203 -s 89.xxx.186.xxx -j ACCEPT
iptables -A INPUT -p tcp --dport 2203 -j DROP

再起動時にもルールが保存されていることを確認します。

apt install iptables-persistent
iptables-save > /etc/iptables/rules.v4

これらの手順を実行することで、SSHプロトコルのセキュリティが大幅に向上します。

静的IPアドレスとしてVPSサーバーを使用することをお勧めします。静的IPは常に同じであり、自宅やオフィス、旅行先やモバイルインターネットから接続してもIPアドレスが変わらないため便利です。ほとんどの場合、動的IPとは異なり、一貫性があります。