::WinLux-Compeople::+82-10-4621-0514

보안 차원에서 ssh 서비스 기본 포트인 22번을 다른 포트로 변경 할 경우가 있다.

ssh 기본 포트 22 번을 사용할 경우 외부에서 불법 해킹 시도로 접속 시도가 많다.(물론 방화벽에서 제어 가능)
이럴때 기본 포트만 변경 만드로 이런 불법 시도를 차단 할 수 있다. 

1. 방화벽에 변경 할 포트 설정
예제는 "9022" 번으로 포트를 변경하려 한다. 옵션에 변경 할 포트를 써서 방화벽 정책으로 추가한다.
# firewall-cmd --permanent --zone=public --add-port=9022/tcp
# firewall-cmd --reload

2. ssh 환경 설정
기본 환경파일 /etc/ssh/sshd_config 파일을 수정한다. 기본 주석처리가 되어 있다. 수정 또는 추가 하여 설정한다.
# vi /etc/ssh/sshd_config
#Port 22
Port 9022

** 보안 추가 설정 **
ssh 로 root 접속을 차단하려면 아래 옵션을 활성화 한다.
  - 변경전 : #PermitRootLogin yes  <== 주석 해제 및 아래처럼 " no"로 수정
  - 변경후 : PermitRootLogin no

3. 서비스를 재구동
# systemctl restart sshd

*** 만약 오류가 난다면. ***
Job for ssh.service failed because the control process exited with error code. See "systemctl status ssh.service" and "journalctl -xe" for details.

** 중요 ** selinux 를 사용할 경우 포트 변경(* semanage 는 SELinux Policy Management tool)
# semanage port -a -t ssh_port_t -p tcp 9022

다시 서비스를 재구동
# systemctl restart sshd

** 혹시 그래도 오류가 해결되지 않는다면, 위 설정한 "/etc/ssh/sshd_config" 파일등을 다시 확인하여 오타나 오류가 없는지 다시 한번 확인한다.

** 리눅스, CentOS 7 기준 네트워크 장치명 변경 방법

1. 디바이스 장치명 확인

네트워크 장치명 확인을 위해, "ifconfig -a" 명령어 실행.

명령어 실행해 보면 "eth0", "lo" 처럼 장치명이 보이고, 이 장치명을 변경 해 보자.

2. 커널 옵션 추가

# vi /etc/default/grub

GRUB_CMDLINE_LINUX 옵션 맨 뒤에

"net.ifnames=0 biosdevname=0" 커널 옵션 추가.

GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="crashkernel=auto spectre_v2=retpoline rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet net.ifnames=0 biosdevname=0"
GRUB_DISABLE_RECOVERY="true"

3. 부트로더 수정

# grub2-mkconfig -o /boot/grub2/grub.cfg

4. 디바이스 이름 변경

# cd /etc/sysconfig/network-scripts 이동하여, "ifcfg-0000" 원하는 장치명으로 변경

vi /etc/sysconfig/network-scripts/ifcfg-eth0

ifcfg-0000 해당 파일 내용중 NAME=ehh0 부분, 바꾸고 싶은 이름으로 수정