![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2018-08-13T15:34:48+09:00","","") #author("2018-08-13T15:35:53+09:00","","") [[CentOS7]] *sslhインストール [#sc3e3397] ''ssh'' というと22番ポートを利用するものだが、環境によっては利用できない事がある。 そういった場合だと443番ポート(''SSL'')を利用する場合が多いが、Webサーバーの場合だとすでに ''https'' で使用している場合が多い。そんなとき、''ssh'' と ''ssl'' を ''443''番ポートで同居させて、それぞれのパケットのときは適切に割り振りをしてくれるリバースプロキシのような動作をしてくれるのが『''[[SSLH>http://www.rutschle.net/sslh]]''』になる。 **インストール [#t8369116] |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# yum -y install sslh| **設定 [#a934e3bb] まず、Webサーバーで''443''番ポートを''127.0.0.1''にのみ許可してやり、外部からアクセス時の''443''ポートを開放する。 |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# vi /etc/httpd/conf.d/ssl.conf| |Listen &color(lime){127.0.0.1:};443 https &color(lime){←編集};| ''SSLHの設定'' 「/etc/sslh.cfg」で、''listen''する''host''に受付をするインターフェイスのIPアドレス(もしくはホスト名)を入力する。 「''/etc/sslh.cfg''」で、''listen''する''host''に受付をするインターフェイスのIPアドレス(もしくはホスト名)を入力する。 |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# vi /etc/sslh.cfg| |... &br; # Change hostname with your external address name. &br; listen: &br; ( &br; { host: "&color(lime){NICのIPアドレス};"; port: "443"; } &color(lime){←編集};&br; ); &br; ...| **起動 [#ga28e9b9] |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# systemctl start sslh| |[root@localhost ~]# systemctl enable sslh| **テスト [#bc65de9d] ''ssh の疎通確認'' |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# ssh &color(lime){NICのIPアドレス}; -p443| ''httpsの疎通確認'' |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# curl &color(lime){https://hogehoge.com}; -k| *設定ファイルを読み込ませる場合 [#ob46c86a] 設定ファイル使うと、/etc/default より管理が楽になります。 設定ファイル使うと、''/etc/default'' より管理が楽になります。 |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# vi /etc/default/sslh| |DAEMON_OPTS="--user sslh -F /etc/sslh --pidfile /var/run/sslh/sslh.pid"| |[root@localhost ~]# vi /etc/sslh| |listen: ( &br; { &br; host : "&color(lime){NICのIPアドレス};"; &br; port :443 &br; } &br; ); &br; &br; protocols: ( &br; {name: "ssh" ; host: "127.0.0.1"; port: "22" ;}, &br; {name: "http" ; host: "127.0.0.1"; port: "443"; }, &br; )| **443ポートは貴重 [#w7b2444a] ''IPv4''のポート''443''は今はインターネットそのものになりつつあります。全ての通信が''443''ポートでおこなわれつつあるとおもっています。 ''443''ポートで''VPN''を貼ったり''ssh''したり''SocksProxy''作ったり通信内容を見られないというのはとても重要なファクタに成りつつあります。
