Amazon EC2、SSH（22番ポート）の設定方法はこうすべき！｜横浜のホームページ制作スタジオFIXの社長ブログ

Amazon EC2、SSH（22番ポート）の設定方法はこうすべき！

2009/05/17

Amazonサポートセンターに連絡を取ってみたところ、
寛大なご処置をいただけたものの、私に許された猶予は残り24時間。
GW真っ最中に、死刑執行寸前の身となってしまった Webデザイナーです。

でも、ここまで突き進んでこれたんだもの！
この危機にも、ジャック・バウアー並みの超アクションで立ち向かっていこう！

結局、今回の私の不祥事は
Amazon EC2、インスタンスを立ち上げてみたのステップ(7)で
「Security Groups」を設定した際に
SSH（22番ポート）のIPアドレスをデフォルト（初期設定）の
「0.0.0.0/0」のままにしてあったことが原因でした。

Amazon EC2 へのSSH接続は「公開鍵認証方式」。
AWS Management Consoleで Key Pairsを取得してみたで取得した
pemファイルが無いと、私のEC2にはアクセスできないハズ。
そもそも、それが大きな間違いでした。

Amazon EC2 へは、SSHと呼ばれる暗号化通信で行いますが、
SSHは、あくまで通信を暗号化しているだけですので、
鍵がなくても rootのパスワードさえわかれば
「ssh root@ec2-XXXXXXXXXXX」
コマンドを叩いて、SSH接続出来ちゃうんですね…。

そうやってハッカーは、rootのパスワードをビンゴ！しただけで、
たいした苦労もせずに入り込んだのでしょう。
だって、rootのパスワードは root だったし。（死ねばいいのに！）

そのため、22番ポートへのアクセスを限定した方がよりベストだと
Amazon の英語ページ
Tips for Securing Your EC2 Instance には書かれていますが、
このページは、Amazon サポートセンターからの
返信の中に書かれていたURL。

これまで Amazon EC2 に関する色んなサイトを
ググってググって、見て見て見まくってきたのに、
どこにもこの問題について注意が書かれている
日本語のページなんか無かったよ？
あったら、ちゃんとその通りにしてるもん…。(´･ω･)　

Tips for Securing Your EC2 Instance に書かれている
SSH、22番ポートの設定を行うためには
まず、自分のパソコンまたはネットワークのIPアドレスを知る必要があるようなので、
Firefoxのアドオンツール
「Elasticfox」を入手するところから始めました。

横浜のホームページ制作スタジオFIXの社長ブログ

http://s3.amazonaws.com/ec2-downloads/elasticfox.xpi
へアクセスして、「Elasticfox」をダウンロード（無料）します。

ダウンロードした「elasticfox.xpi」というファイルを
Firefoxの画面上にドラッグすると、この画面が表示されるので
「今すぐインストール」をクリック。

Firefoxの再起動をうながされるので「Firefoxを再起動」をクリック。

Firefoxを再起動すると「ツール」以下に
「Elasticfox」が表示されるのでクリックして起動します。

画面左上にある「Credentials」をクリック。

「Accout Name」は、好きな名前でOK
「Your Access Key ID」、「Your Secret Access Key」は
Amazon EC2のイメージファイルをS3に保存するのステップ(1)〜(2)で取得したものを入力して、「Add」をクリック。
追加されたら「Close」をクリックしてウィンドウを閉じる。

そのまま少し待つと接続されるので、画面上部の「Security Groups」クリック。

tcp　22　22　0.0.0.0/0　を選択して
右上の緑色のチェックマークアイコンをクリック。

「Host」にチェックを入れて、「Get My Host Address」をクリックすると
自分のパソコンのIPアドレスが表示されます。
自分のパソコンでしか、Amazon EC2 にアクセスできないようにしたい場合は、このまま「Add」をクリック。

「Network」にチェックを入れて、「Get My Host Address」をクリックすると 自分のネットワークのIPアドレスが表示されます。社内ネットワーク内にある複数のパソコンで Amaon EC2を共通利用する場合などは、こちらを選んで「Add」をクリック。

私は次は死刑だと Amazon から宣告されている身なので
「Host」の方にIPを指定しておきました。

もしこのように「22」が2つ出来上がっちゃっていた場合は
tcp　22　22　0.0.0.0/0　の方をを選択して
赤い手のマークのアイコンをクリックして削除。

Elasticfox を使い、ここで行った「Security Groups」の設定は
普段利用している方の「AWS Management Console（AWS）」にも
反映されました。

以上の作業を行った上で、改めて
Amazonサポートサービスにメールでご報告したところ、
━━━━━━━━━━━━━━━━━━━━━━━━━━━
Dear KAORU
今回キミが受けてしまった攻撃は、とっても残念だったね！
キミがSSHポートにIPアドレス制限を行ったことを我々は確認したよ。
これでキミは Amazon EC2 の継続利用することができるよ。
これからも最新のパッチを当てることをいつも忘れないでね！
━━━━━━━━━━━━━━━━━━━━━━━━━━━
というお返事をいただきました。
この文面のせいでしょうか。
つい楽しい気持ちになってしまいましたが、
無知が罪だということを　ちゃんと猛省しています。
I’m Sorry…..

日本のどこかで私と同じように
素人ゆえの涙を流している方がいらっしゃるかもしれません。
AWS Management Console（AWS）にログインしたら、
━━━━━━━━━━━━━━━━━━━━━━━━━━━
It looks like you don’t have an EC2 account*.
To use the Amazon EC2 Console you must first sign up for Amazon EC2. It’s quick & free to sign up.
*If you just signed up, it can take a few minutes for your account to become active.
Sign Up For Amazon EC2
━━━━━━━━━━━━━━━━━━━━━━━━━━━
と表示が出て困っている方の目にこのエントリーがとまりますように！！