概要

毎回 sshd_config の設定を忘れて調べ直しているので、よく設定する項目をメモ。

簡単なセキュリティ設定

rootログインの禁止

no で禁止。他にもパラメータがあって細かく設定できるけど no で良いと思う。

PermitRootLogin no

パスワード認証の禁止

no でパスワード認証を禁止。公開鍵を渡していないとログインできなくなるので注意。

PasswordAuthentication no

チャレンジ/レスポンス認証を禁止

パスワード認証を安全行うためのですが、パスワード認証を使わないのであればいらない

ChallengeResponseAuthentication no

空パスワードを禁止

no で禁止。空パスワードのアカウントのログインを禁止する。

PermitEmptyPasswords no

リトライ数を制限

認証が何回失敗したら接続を打ち切るかしていする。1 にすると1度でもパスワード入力に失敗すると切断する。

MaxAuthTries 1

ポート番号の変更

ポートスキャンされたら意味ないけど雑なボットからの攻撃は減るのでしたほうがいい。 複数のポートを利用する場合は複数行書く。

# 2222にする場合
Port 2222

# 2222と2022にする場合
Port 2222
Port 2022

転送設定

TCPポート転送

yes で許可。踏み台サーバとして利用する場合などで必要。

AllowTcpForwarding no

X11転送

yes で許可。GUIを転送を行えるようにする。Wayland でも使えるらしい?無効化しておくほうが無難。

X11Forwarding no

転送を無効化

yes ですべての転送機能を無効化する。なお、他の転送設定を上書きするので、この設定を有効化した上で Match 等で一部の ユーザーだけTCPポート転送を許可、などはできない。

DisableForwarding yes