iptableで外部からのsshを防ぐ

sshを使っているとは言えど、パスワードログインでは攻撃の対象となるようだ。なので、公開暗号鍵方式での認証に変えた方がより安全。参考:「OpenWRT での dropbear に関するページ」

しかしながら、パスワードログインを完全にやめちゃうとメンテナンス時にログインできなくて困っちゃうかもしれない。シリアルケーブルは持ち歩かない(La Foneraは実家だ:-))し、いつもと違うPCでログインしたい場合もあるかも。

だから、wan側のポートをiptablesで閉じておくことで対処。

外からsshでアクセス(eth0=192.168.100.2)すると、応答無し状態からタイムアウトになる。

IPの初期設定を変更

sshでログインできるようにする

まず、rootのパスワードを設定する。doropbearを有効する。

再起動後、リモートからsshログインしてみる。

無線IFを有効にする

まずは有効にしてみる

使える様になった~(^^/

無線WIFI端末にしてみる

暗号化などは置いといて、とりあえず繋ぐだけの設定。dhcp

eth0をWAN側に接続する、かつ、メンテナンス用としても使えるようする-失敗

La foneraはethernetポートを一つしか持っていない。アクセスポイントとして使うときはethernetをWAN側(dhcp)にするのだけれど、なにかあったときにethernetで接続してメンテできると便利だ。そこで、仮想IFを設定する。

WAN用をeth0:1(dhcp)、メンテ用をeth0(static)とする。

ntpで時刻合わせ

インストール

時刻サーバは日本標準時プロジェクトの公開NTPサーバを利用する。

タイムゾーンも設定しておく

再起動して確認

Leave a Comment.