SSHのアクセス制御

ZoneExpress NEOでは、初期導入設定で、SSHを利用したアクセスのみを許可しています。 ただ、初期状態ではインターネットからは全てアクセス可能な状態になっていますので、アクセス元の制御を実施することをお勧め致します。

TCP Wrapperが組み込まれていますので、ソースIP、アクセス元ホスト名などで制御が可能です。

設定例1)アクセス元IPアドレス(例:xxx.xxx.xxx.192)にて許可設定

$ sudo vi /etc/hosts.allow
----
sshd: ALL       を削除
  ↓
sshd: xxx.xxx.xxx.192 を追加
----

設定例2)アクセス元ホスト名(例:xxx.zone-express.jp)にて許可設定(緩い設定)

$ sudo vi /etc/hosts.allow
----
sshd: ALL       を削除
  ↓
sshd: .zone-express.jp を追加
----

「xxx.xxx.zone-express.jp」 のxxx部分は任意の文字列です。ADSLからなどでダイナミックアドレスを使用されている場合などで、緩いアクセス元設定が可能です。 但し、セキュリティ的には、SSH公開鍵アクセス設定をお勧め致します。

認証ログ出力

下記ファイルにSSH認証ログが出力されます。

/var/log/authlog

※ファイルの確認には、root権限が必要です。

SSH可能なユーザを限定する

以下の手順でSSHが可能なユーザを限定する事が可能です。

  • SSH許可グループ”sshuser”を作成する。
$ sudo groupadd sshuser

※グループ名は任意です。

  • SSHを許可したいユーザをsshersグループに追加する。
$ sudo useradd -a -Gsshuser <許可ユーザ>
  • SSH設定ファイルを編集する。
$ sudo vi /etc/ssh/sshd_config
....
# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

ページ最下部へ以下の様に追記します。

....
# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# SSHを以下のグループにのみ許可
AllowGroups sshuser

編集を保存後、SSHサービスを再起動し完了です。

$ sudo service sshd restart
/home/vps.netcube.ne.jp/public_html/wiki/data/pages/ssh_acl.txt · 最終更新: 2010/02/12 16:53 by admin
ZoneExpress VPS NEO Boot OpenSolaris Creative Commons License Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0