サーバー管理者のためのセキュリティ超入門 LT2

1. AI×Engine×OS
=
KUSANAGI
Stack
1
プ ラ イ ム ・ ス ト ラ テ ジ ー 株 式 会 社
サーバー管理者のためのセキュリティ超入門（LTその２）
SSH応用利用
サーバー接続だけでないSSHの利用方法

2. AI×Engine×OS
=
KUSANAGI
Stack
2
自己紹介
https://www.linkedin.com/in/primewatanabe/
https://twitter.com/watanabe_ps
https://www.facebook.com/naoki.ice.watanabe
渡部直樹（わたなべなおき）
プ ラ イ ム ・ ス ト ラ テ ジ ー 株 式 会 社
代表取締役社長
富士通クラウドダイレクトブログにて記事書いてます
https://blog.clouddirect.jp.fujitsu.com/archive/category/推しは富士通
ハンドルネーム：icebreaker

3. AI×Engine×OS
=
KUSANAGI
Stack
3
こんなニーズありませんか？
ブラウザ
Webサイト群
自分のIPアドレスを知られたくない
（一般的な解決方法としてはSquidなどでProxyサーバーを構築）
どうすれば？？？
ブラウザ
開発サーバー
接続元制限がIPアドレスルールの開発サーバーに接続したい
（自身のプロバイダは固定IP契約をしていない）
FW

4. AI×Engine×OS
=
KUSANAGI
Stack
4
設定方法
ssh -D 9600 hoge@hoge.sakura.ne.jp
1.ブラウザのインターネット接続設定 2.SSHサーバーへの接続
※ポートは9600で無く任意のポートでOK

5. AI×Engine×OS
=
KUSANAGI
Stack
5
実験
IPアドレスが変わった！
Before After

6. AI×Engine×OS
=
KUSANAGI
Stack
6
ダイナミックフォワード機能
ssh -D 9600 hoge@hoge.sakura.ne.jp
ブラウザ
Linux Server
(hoge.sakura.ne.jp)
Webサイト群
SSHサーバー
(openssh-server)
127.0.0.1:9600 SSHトンネル
-D [bind_address:]port
ローカルの「動的」アプリケーションレベルのポート転送を指定します。これは、ローカル側のポートを
リッスンするソケットを割り当てることによって機能し、オプションで指定されたbind_addressにバイン
ドされます。このポートへの接続が行われるたびに、接続は安全なチャネル経由で転送され、アプリケー
ション プロトコルを使用してリモート マシンからの接続先が決定されます。現在、SOCKS4 および
SOCKS5 プロトコルがサポートされており、ssh は SOCKS サーバーとして機能します。 root のみが特権
ポートを転送できます。動的ポート転送は構成ファイルで指定することもできます。
代理アクセス

7. AI×Engine×OS
=
KUSANAGI
Stack
7
こんなニーズありませんか？（その２）
自宅PC
RemoteView/TeamViewerなどのリモート接続ツールもあるが有償
ChromeリモートデスクトップはGoogleアカウントが必要
せっかくならProに搭載されているリモートデスクトップを使いたい
ただ、社外から直接繋ぐことはできない。
コストをかけずに
在宅ワークさせたい
Windows 11 Pro
自社オフィス

8. AI×Engine×OS
=
KUSANAGI
Stack
8
設定方法
1.SSHサーバーの設定変更
2.SSHサーバーへの接続
# vi /etc/ssh/sshd_config
GatewayPorts yes
# systemctl restart sshd
ssh -l hogehoge sshserver.prime.com -R 53389:localhost:3389 -N
ここで実行

9. AI×Engine×OS
=
KUSANAGI
Stack
9
実験
リモートデスクトップ接続できた

10. AI×Engine×OS
=
KUSANAGI
Stack
10
ポート転送機能
ブラウザ
Linux Server
SSHサーバー
(openssh-server)
GatewayPorts (ポート転送の中継)
ローカルからリモートへ転送されている (リモート ->ローカルのポート転送) ポートに、他ホストからの
接続を許すかどうかを指定します。デフォルトでは、 ssh(1) は、転送されたローカルポートをループバッ
クアドレス (127.0.0.1) に bind します。このため他の (訳注: サーバ以外の) ホストが転送されたポートに接
続することはできません。 GatewayPorts を使うと、 ssh は、転送されたローカルポートをワイルドカー
ドアドレス (0.0.0.0) に bind するようになります。これは他のホストもその転送されたポートに接続でき
るということです。この引数の値は、“yes”または“no”で、デフォルトは、“no” (転送されているポートに
他ホストからの接続を許可しない) に設定されています。
自宅PC
# vi /etc/ssh/sshd_config
GatewayPorts yes
# systemctl restart sshd
ssh -l hogehoge sshserver.prime.com -R 53389:localhost:3389 -N
Windows 11 Pro
自社オフィス
RDPポート:3389
グローバルIP:53389 SSHトンネル

11. AI×Engine×OS
=
KUSANAGI
Stack
11
宣伝その１
ブラウザの接続元IPアドレス置換
リモートデスクトップ接続
どちらもネットワーク転送量(料)のかかるものなので、あまり使いたくない( ﾉД`)ｼｸｼｸ…
10TB/月まで無料
（リージョンごと）
だが！

12. AI×Engine×OS
=
KUSANAGI
Stack
12
宣伝その２
WordPressももちろん強いですが
人工知能の開発もやってるよ！
作ってほしいAIがあったら言ってね。
（ChatGPTの利用やAI-OCRの利用とかではなく、ガチ開発）
ご清聴ありがとうございました

13. AI×Engine×OS
=
KUSANAGI
Stack
©Prime Strategy Co.,Ltd.