![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2018-08-12T01:34:51+09:00","","") #author("2018-08-12T01:35:17+09:00","","") [[CentOS7]] *rootで直接アクセス出来ないようにする [#f76ce4d5] |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# vi /etc/ssh/sshd_config| |PermitRootLogin no &color(lime){← no に変更する}; &br; Protocol 2 &color(lime){← SSH2でのみ接続を許可}; &br; SyslogFacility AUTHPRIV &color(lime){← ログを/var/log/secureに記録する※CentOSデフォルトに合わせる}; &br; PasswordAuthentication no &color(lime){← パスワードでのログインを禁止(鍵方式によるログインのみ許可)}; &br; PermitEmptyPasswords no &color(lime){← パスワードなしでのログインを禁止};| **弱い暗号方式を使用しないようにする [#sc170f9e] |BGCOLOR(black):COLOR(white):|c |[root@centos ~]# echo Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com >> /etc/ssh/sshd_config| **弱い暗号方式を使用しないようにする [#w1af9387] |BGCOLOR(black):COLOR(white):|c |[root@centos ~]# echo Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com >> /etc/ssh/ssh_config| **弱い暗号方式を使用しないようにする [#m22a466b] |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# echo MACs hmac-sha2-256,hmac-sha2-512,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com >> /etc/ssh/sshd_config| **弱い暗号方式を使用しないようにする [#q978571a] |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# echo MACs hmac-sha2-256,hmac-sha2-512,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com >> /etc/ssh/ssh_config| **管理者用ユーザー(wheelグループ所属ユーザー)を除いて、一般ユーザーが自身のホームディレクトリ以外を参照できないようにする。 [#zca759c4] |BGCOLOR(black):COLOR(white):|c |[root@centos ~]# usermod -G wheel <username> &color(lime){← 管理者ユーザー(例:centos)をwheelグループに追加};| |[root@centos ~]# usermod -G wheel <username> &color(lime){← 管理者ユーザーをwheelグループに追加};| |[root@centos ~]# vi /etc/ssh/sshd_config &color(lime){← SSHサーバー設定ファイル編集};| |&color(lime){以下を最終行へ追加}; &br; Match Group *,!wheel &br; ChrootDirectory /home/%u/./| **SSHサーバー設定反映 [#z860e690] |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# systemctl restart sshd|
