メインコンテンツへスキップ
  1. Posts/

SSH接続の基本設定と安全な運用方法:実践で学んだセキュリティ対策

·572 文字·3 分·
技術tips SSH セキュリティ Linux サーバー管理 リモートアクセス
目次

SSH接続の基本設定と安全な運用方法:実践で学んだセキュリティ対策 #

リモートサーバーへの安全な接続手段として不可欠なSSH(Secure Shell)。しかし、基本的な設定のままではセキュリティリスクが高く、実際に攻撃を受ける可能性があります。

私自身、サーバー管理を始めた頃にデフォルト設定のまま運用していたところ、不正アクセス試行のログが大量に記録されるという経験をしました。この記事では、そうした実体験を基に、SSH接続の基本から実践的なセキュリティ対策まで詳しく解説します。

🔒 なぜSSHセキュリティが重要なのか #

実際に遭遇したセキュリティインシデント #

私が初めて自宅サーバーを構築した際、デフォルトポート22番でSSHを公開していました。わずか1週間後、ログを確認すると以下のような状況に:

# /var/log/auth.log の一部
May 15 03:22:41 server sshd[12345]: Failed password for root from 192.168.1.100 
May 15 03:22:43 server sshd[12346]: Failed password for admin from 192.168.1.101
May 15 03:22:45 server sshd[12347]: Failed password for user from 192.168.1.102
# この後、数百行の不正アクセス試行が続く...

1日で200回以上の不正ログイン試行が記録されていました。これが現実です。

SSH攻撃の実態(2024年データ) #

最近の調査によると、インターネット上のSSHサービスは:

  • 平均して1時間に5-10回の攻撃を受ける
  • デフォルト設定のサーバーの侵入成功率は約3%
  • 攻撃手法の98%は辞書攻撃・ブルートフォース

この状況を踏まえ、適切な対策が必要不可欠です。

🛠 基本的なSSH設定とセキュリティ強化 #

1. SSHサーバーの基本設定 #

/etc/ssh/sshd_configの推奨設定 #

# 基本的なセキュリティ設定
Port 2222                    # デフォルトポート変更(22→任意のポート)
Protocol 2                   # SSH2プロトコル強制
PermitRootLogin no          # root直接ログイン禁止
PasswordAuthentication no   # パスワード認証無効化
PubkeyAuthentication yes    # 公開鍵認証有効化
AuthorizedKeysFile .ssh/authorized_keys

# アクセス制限
AllowUsers myuser           # 特定ユーザーのみ許可
MaxAuthTries 3              # 認証試行回数制限
LoginGraceTime 30           # ログイン猶予時間(秒)
MaxStartups 3               # 同時接続制限

# セッション設定
ClientAliveInterval 300     # 5分間無通信でタイムアウト
ClientAliveCountMax 2       # タイムアウト前の確認回数

設定変更の適用 #

# 設定ファイルの文法チェック
sudo sshd -t

# SSH サービス再起動
sudo systemctl restart ssh

# 起動確認
sudo systemctl status ssh

⚠️ 重要: 設定変更前に必ず別のターミナルでSSH接続を維持してください。設定ミスでロックアウトされる可能性があります。

2. SSH鍵ペア認証の実装 #

鍵ペア生成(クライアント側) #

# ED25519アルゴリズムで鍵生成(推奨)
ssh-keygen -t ed25519 -C "your-email@example.com"

# または、RSA 4096bitの場合
ssh-keygen -t rsa -b 4096 -C "your-email@example.com"

# 生成される鍵
~/.ssh/id_ed25519     # 秘密鍵(厳重管理)
~/.ssh/id_ed25519.pub # 公開鍵(サーバーにコピー)

公開鍵のサーバー登録 #

# 方法1: ssh-copy-id使用(推奨)
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server-ip

# 方法2: 手動コピー
cat ~/.ssh/id_ed25519.pub | ssh user@server-ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

# 権限設定(サーバー側)
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

🛡 高度なセキュリティ対策 #

1. fail2ban による攻撃防御 #

実体験では、fail2banの導入で不正アクセス試行が90%以上減少しました。

インストールと設定 #

# fail2ban インストール
sudo apt update
sudo apt install fail2ban

# 設定ファイル作成
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

/etc/fail2ban/jail.local の設定 #

[sshd]
enabled = true
port = 2222        # 変更したSSHポート
logpath = /var/log/auth.log
maxretry = 3       # 3回失敗でブロック
bantime = 3600     # 1時間ブロック
findtime = 600     # 10分間の監視期間

動作確認 #

# fail2ban 起動・有効化
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# ブロック状況確認
sudo fail2ban-client status sshd

# ブロックされたIP確認
sudo fail2ban-client get sshd banip

2. ポートノッキング #

さらに高度なセキュリティとして、ポートノッキングを実装。これは「特定のポートシーケンスをノックしてからSSHポートが開く」仕組みです。

knockdの設定例 #

# knockd インストール
sudo apt install knockd

# /etc/knockd.conf 設定
[options]
UseSyslog

[openSSH]
sequence = 7000,8000,9000  # ノック用ポート番号
seq_timeout = 5
command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 2222 -j ACCEPT
tcpflags = syn

[closeSSH]
sequence = 9000,8000,7000  # 逆順でクローズ
seq_timeout = 5
command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 2222 -j ACCEPT
tcpflags = syn

クライアントからの使用方法 #

# ポートノッキング実行
knock server-ip 7000 8000 9000

# SSH接続
ssh -p 2222 user@server-ip

# 終了時のクローズ
knock server-ip 9000 8000 7000

3. 二要素認証(2FA)の実装 #

Google Authenticatorを使用した二要素認証も実装可能です。

# Google Authenticator PAM インストール
sudo apt install libpam-google-authenticator

# ユーザーごとの設定
google-authenticator
# QRコードをスマホアプリでスキャン

📊 実運用での効果測定 #

対策前後のログ比較 #

項目対策前(1週間)対策後(1週間)
不正アクセス試行1,420回12回
異なる攻撃IP数89個3個
CPU使用率(平均)15%3%
メモリ使用率変化なし変化なし

結果: 不正アクセス試行が99.2%減少し、サーバー負荷も大幅に軽減されました。

推奨セキュリティレベル #

レベル1: 最低限(すべての環境必須) #

  • ✅ デフォルトポート変更
  • ✅ root ログイン禁止
  • ✅ 公開鍵認証導入
  • ✅ パスワード認証無効化

レベル2: 標準的(商用環境推奨) #

  • ✅ fail2ban導入
  • ✅ アクセス可能ユーザー制限
  • ✅ セッションタイムアウト設定
  • ✅ 定期的なログ監視

レベル3: 高セキュリティ(機密性の高い環境) #

  • ✅ ポートノッキング
  • ✅ 二要素認証
  • ✅ VPN経由のみアクセス許可
  • ✅ 侵入検知システム(IDS)

🔧 トラブルシューティング #

よくある問題と解決法 #

1. SSH接続ができなくなった #

# 別ターミナルで接続状況確認
sudo netstat -tlnp | grep :2222

# SSHデーモンの状態確認
sudo systemctl status ssh

# 設定ファイルの文法チェック
sudo sshd -t

2. 鍵認証が機能しない #

# 権限確認(クライアント側)
ls -la ~/.ssh/
# 秘密鍵: 600、.sshディレクトリ: 700 である必要

# 権限確認(サーバー側)
ls -la ~/.ssh/authorized_keys
# 600 である必要

# 詳細なログ確認
ssh -vvv -p 2222 user@server-ip

3. fail2ban が動作しない #

# fail2ban ログ確認
sudo tail -f /var/log/fail2ban.log

# jail 状態確認
sudo fail2ban-client status

# 設定の再読み込み
sudo fail2ban-client reload

📈 継続的なセキュリティ管理 #

定期的なメンテナンス作業 #

週次作業 #

  • 不正アクセス試行ログの確認
  • fail2ban ブロック状況の確認
  • SSH接続ユーザーのアクティビティ確認

月次作業 #

  • SSH鍵の棚卸し(不要な鍵の削除)
  • ユーザーアカウントの見直し
  • セキュリティアップデートの適用

年次作業 #

  • SSH鍵の更新(2048bit RSA → ED25519等)
  • セキュリティポリシーの見直し
  • 緊急時対応手順の確認

監視すべきログパターン #

# 大量の失敗ログイン(攻撃の兆候)
grep "Failed password" /var/log/auth.log | tail -20

# 成功したログイン(正規・不正の確認)
grep "Accepted" /var/log/auth.log | tail -10

# sudo使用状況(権限昇格の監視)
grep "sudo:" /var/log/auth.log | tail -10

🎯 まとめ #

SSH接続のセキュリティ対策は**「やりすぎ」はない**というのが、実際の運用を通じた実感です。

最重要ポイント #

  1. デフォルト設定は危険 - 必ず変更する
  2. 公開鍵認証は必須 - パスワード認証は無効化
  3. fail2ban等の自動防御は効果絶大 - 導入コストに対し効果は非常に高い
  4. 定期的な監視が重要 - 「設定して終わり」は禁物

次のステップ #

適切なSSH設定により、安全で効率的なサーバー管理が可能になります。セキュリティは一度設定すれば終わりではなく、継続的な改善が重要です。