[CentOS 7] SSH 보안 강화를 위해 포트 번호를 수정하자

SSH 보안 강화를 위해서는 포트 번호를 수정하는 것이 필수적이다. 흔한 22번 포트로 SSH를 이용하는 경우 온갖 종류의 공격에 시달리는 불상사가 발생한다.

 

1. SSH 설정 변경

아래 명령어를 입력하여 SSH 설정을 변경한다.

vi /etc/ssh/sshd_config

'#Port 22' 라고 주석처리 되어 있는 것을 #을 지우고 포트번호를 22 대신에 다른 숫자를 아래 사진처럼 입력한다. 필자의 경우 테스트용으로 10022로 입력하였다.

SSH 설정 변경

2. SELinux 포트 사용 허용

SELinux가 입력한 포트를 허용하도록 아래의 명령어를 입력한다.

semanage port -a -t ssh_port_t -p tcp 포트번호

필자의 경우 아래와 같이 입력하였다.

semanage port -a -t ssh_port_t -p tcp 10022

이 작업을 하지 않고 SSH를 재시작하면 아래와 같이 'SELinux is preventing /usr/sbin/sshd from name_bind access on the tcp_socket port 10022'라는 메시지가 나타난다.

오류 예시

3. SSH를 재시작한다.

아래의 명령어를 입력하여 SSH를 재시작한다.

systemctl restart sshd

4. 방화벽을 개방한다.

아래의 명령어를 입력하여 SSH가 사용할 포트의 방화벽을 개방한다.

firewall-cmd --permanent --zone=public --add-port=포트번호/tcp

필자의 경우 아래와 같이 입력하였다.

firewall-cmd --permanent --zone=public --add-port=10022/tcp

5. 방화벽을 재시작한다.

아래의 명령어를 입력하여 방화벽을 재시작한다.

firewall-cmd --reload