3.2.2.3. SSH のセキュリティー保護のその他の方法

Red Hat Enterprise Linux で提供される SSH プロトコルの実装は、プロトコルの SSH-1 および SSH-2 の両方をサポートしますが、可能な場合は後者のみを使用してください。SSH-2 バージョンには、古い SSH-1 に対する多くの改善が含まれています。また、多くの高度な設定オプションは、SSH-2 を使用する場合にのみ利用できます。

SSH プロトコルが使用されている認証および通信を保護するエクステントを最大化するために、SSH -2 を使用することが推奨されます。sshd デーモンがサポートするプロトコルのバージョンまたはバージョンは、/etc/ssh/sshd_config ファイルの Protocol configuration ディレクティブを使用して指定できます。デフォルト設定はです 2。

ssh-keygen コマンドにより SSH-2 のペアが生成されます。 RSA -t オプションを使用して、デフォルトでキーを生成するように指示できます。 DSA または ECDSA 鍵も。The ECDSA (elliptic Curve Digital Signature Algorithm)は、同じ対称鍵の長さで優れたパフォーマンスを提供します。また、短いキーも生成します。

デフォルトでは、sshd デーモンは 22 ネットワークポートをリッスンします。ポートを変更すると、自動化したネットワークスキャンに基づく攻撃にシステムがさらされる可能性が減るため、あいまいさによりセキュリティーが向上します。ポートは、/etc/ssh/sshd_config 設定ファイルの Port ディレクティブを使用して指定できます。また、デフォルト以外のポートを使用できるように、デフォルトの SELinux ポリシーを変更する必要もあります。これを行うには、root で以下のコマンドを入力して、ssh_port_t SELinux タイプを変更します。

~]# semanage -a -t ssh_port_t -p tcp port_number

上記のコマンドで、port_number を、Port ディレクティブで指定された新しいポート番号に置き換えます。

特定のユースケースで root ユーザーとしてログインする必要がない場合は、/etc/ssh/sshd_config ファイルで設定ディレクティブを PermitRootLogin 設定することを検討 no してください。root ユーザーとしてログインする可能性を無効にすることで、管理者は通常のユーザーとしてログインして root 権限を取得すると、どのユーザーがどの特権コマンドを実行するかを監査できます。