先週末は、東工大院時代の先輩(私は社会人院生だったので年下の方ですけど)が研究に使うため、堅牢で高性能なサーバーを貸して頂戴というので、その設定をしておりました。ruby駆動のshellを使い倒してネットで文字情報を帯域1000GBぐらいで取得しまくって容量50GBぐらいのビッグデータを蓄積して解析したいという目的ですから、通常の「激安系」のホスティングなどではむろん追いつけません。代表自身が研究者でもある、弊社の出番でしょう。
 
program keyboardで、SSHへの外部からのアクセスを開放する訳ですが、どこからでも通常のパスワードレベルでアクセス可、というのは、ちょっと弱すぎます。一応shellですからね、貸し出すのが。なので、1) パスワードではなく共通鍵認証にする;2) 特定のIPアドレスからのアクセスのみ許可するという二段構えにしました。
 
で、これまでは主に私だけが外部端末からシェルアクセスをしていたので、鍵生成やらの処理が実に3-4年前に設定して以来となっており、復習しながらの設定となりました。
 
その研究者に投げたメモを、備忘録的に下記に掲載しておきます。通常は、このような3段階でシェルアクセスを確立する必要があります。お客さんにやってもらうのは最初の1)のみ。 
 
1) お客さんがローカル端末で公開鍵秘密鍵を共に生成

概要の説明も含めてとても有用:
http://www.jitaku-server.net/ssh_teratermpro_security.html

Tera Term(よく使用されるソフト)での鍵生成の方法:
http://www.j-oosk.com/teraterm/authorized_keys/276/

で、「公開」鍵ファイルをサーバー管理者にメール添付してもらう。こちらは「公開」なので、メール途上で万が一見られても無問題です。お客さんのPC内部にある秘密鍵さえ入手されなければ大丈夫。秘密鍵を使う際の「passphrase」もきちんと設定すること。
 
2) 管理者がサーバーのアカウントの「.ssh」ディレクトリ内にお客さんの公開鍵を「/authorized_keys」内に設定。「sshd_config」の設定変更なども、事前に行っておくこと。
 
3) 最後に、お客さんがよく使う端末のIPアドレスを(幅がある場合は幅で)管理者がIPアドレス許可指定。
 
こうすれば、公開鍵認証+IPアクセス制限で、とりあえずはほぼ完璧に近いSSH接続へのセキュリティが守れます。研究者の皆さん、御用お聞きしますよ!
 
ブログトップへ
「security audits」と言います。

よく使われる0-1024までのportは無論のこと、そこに脆弱性の多い1500以上のportをチェック。
それだけならただの「free port scan」なので、PC向け。

で、「standard」テストの場合、実に32,169の脆弱性についてテストしてくれます。
実際、わずか直近の30日間の間に709 new tests in the last 30 days

加えて嬉しいのが、DOS(Denial of Service)テストまで付加すること。これは、ご存知のようにサーバーに高負荷をかけるため、外すことも。

無料なのだが、ポイントは「サーフできるportからしかで

 blog update calendar

June 2019
MoTuWeThFrSaSu
272829303112
3456789
10111213141516
17181920212223
24252627282930