.
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

OpenSSH で暗号化通信経路を確保する

ここでは、以下のネットワーク構成で、通常起動しているインターネットサーバーと普段は起動していないサブシステムの間でディレクトリの同期を行う事を例に、Rsync と Open SSH による同期について説明しています。

ファイアーウォール(iptables,squid)やネットワークに関する詳細はここでは触れていません。rsync と Open SSH に関する設定のみについて説明します。 用途によっては暗号化(SSH)は必要ないかもしれません。ここでは、HTTP 認証に関するディレクトリが含まれるため、暗号化による保護を必要としています。

メンテナンス時は、左右のシステムのネットワークを入れ替えて、ローカルユーザーにメンテナンスの影響は出さないようにしています。また、ネットワークセ グメントを分割し、それぞれにファイアーウォールを構築しています。特に、LANに接したファイアーウォールでは、proxyによる制限で、ローカルユー ザーがインターネット上でSSHを突くトロイの木馬系ウイルスに感染してもサーバーに影響が出ないようになっています。上位サーバーはDMZ領域に設置す るのも良いと思います。

SSHサーバー側の準備

SSHサービスを立ち上げるのは、普段起動していないメンテナンス用のサーバーとなります。

/etc/ssh/sshd.conf

#Port 22
#Protocol 2,1
# プロトコル2のみに限定させます。(任意)
Protocol 2
#ListenAddress 0.0.0.0
# sshdデーモンが待ち受けるインターフェイスを指定します。
# ここの例では eth1(LAN側)に割り当てられているIPアドレスになります。
ListenAddress 192.168.1.55
#ListenAddress ::

FedoraCore 4 / CentOS 4 では、Open SSH は常駐するデーモンとしてインストールされています。iptables では、eth0 は当然ですが、eth1 に対して port22 へのアクセスは、メインのインターネットサーバーの eth1 以外の接続要求は全て破棄するようにします。

ネットワーク環境を整えてから sshd デーモンを起動するようにします。

bottom_mark
ページ最上部
ページ最上部 前のページ