サーバーのセキュリティは時事問題です。公開サーバーには、次のような多くの危険もあります:
• DDoS 攻撃
• ブルート フォース攻撃
• SQL インジェクション
• セッション ハイジャック
• WordPress などの一般的なコンテンツ管理システム (CMS) の脆弱性の悪用
100% 安全なサーバーはありません。ただし、セキュリティの専門家は、新しい脅威を発見して対処するために日々取り組んでいます。ただし、攻撃者はしばしば一歩先を行っています。したがって、日常業務には使用されない専用の Linux サーバーへの管理者アクセスを保護することが重要です。
さまざまな層にわたる管理者アクセス
Secure Shell (SSH) プロトコルは、最も一般的に Linux サーバーを管理します。 SSH はサーバーとクライアント間に暗号化されたトンネルを提供するため、パスワードと機密コマンドが保護されます。 SSH プロトコルは現在のバージョンでは不明ではありませんが、既定の構成を拡張することでセキュリティを強化できます。 Internet Assigned Numbers Authority (IANA) は、特定の登録に関する経理機能を持ち、SSH プロトコルのポート 22 を割り当てます。ポート 22 は、インターネット上で 3 番目に広くスキャンされているネットワーク プロトコルです。自動ボットとスキャナーは、ポート 22 が開いているサーバーを検索し、SSH ログインに対してブルート フォース攻撃を試みます。攻撃は 3 つの方法で減らすことができます。
1 . SSH ポートの変更
ポートを変更するだけでは、SSH デーモンが「適切な場所」で脆弱性を探すのが難しくなります。 「非標準ポート」を選択すると、ブルート フォース ログインの試行回数が大幅に減少します。一般に、ボットとスキャナーは、抵抗も労力も最小限で済みます。これは、自動化されたボットが 65,000 の伝送制御プロトコル (TCP) ポートすべてをスキャンして時間を無駄にしないことを意味します。これは、SSH デーモンがポート 22 で「リッスン」するサーバーが他に 1000 あることを認識しているためです。
2. SSH キーを使用する
非対称暗号方式は一見複雑に見えますが、通常は Linux ディストリビューション標準の内部にあり、SSH キーの追加を作成するための適切な手順があります。最新の SSH 鍵は、非対称暗号化を使用してデジタル鍵を保護および署名します。これの目的は、暗号化されたデータの送信と識別です。ユーザーは SSH キーを使用し、SSH キーを使用しないログインをすぐに無効にする必要があります。ユーザーのみが対応するキーで識別できるため、この対策によりブルート フォース攻撃が防止されます。理論的には鍵も盗まれる可能性があるため、ユーザーは秘密鍵に特に安全なパスワードを使用する必要があります。
3. ACL の実装
ブルート フォース攻撃を大幅に減らすもう 1 つの手段は、アクセス制御リストです。 ACL は、特定のオブジェクト (ここではサーバー) にバインドされた承認です。ユーザーは、ステートフル ファイアウォールを使用して、SSH アクセスを特定の IP に制限し、他のすべてのインターネット アドレスへのアクセスを拒否できます。たとえば、ボットや自動スキャナーはユーザーのサーバーに接続できなくなります。セキュリティを最適化するには、SSH プロトコルだけでなく、他のすべての関連サービスにも ACL を適用する必要があります。
管理者アクセスの安全性を最大限に高めるには、すべての手段を同時に適用する必要があります。ユーザーが SSH ポートを「非標準ポート」に変更しただけの場合、変更された新しいポートも検出される可能性があるため、ブルート フォース ログインの試行は防止されません。 ACL を使用するだけでは、認証プロセス自体を保護することはできません。セキュリティの専門家は、マルチレベル セキュリティの概念を使用します。この概念では、複数のセキュリティ レイヤーを積み重ねて、可能な限り最高のカバレッジを実現します。