SSHのアクセス制御
ZoneExpress NEOでは、初期導入設定で、SSHを利用したアクセスのみを許可しています。 ただ、初期状態ではインターネットからは全てアクセス可能な状態になっていますので、アクセス元の制御を実施することをお勧め致します。
TCP Wrapperが組み込まれていますので、ソースIP、アクセス元ホスト名などで制御が可能です。
設定例1)アクセス元IPアドレス(例:xxx.xxx.xxx.192)にて許可設定
$ sudo vi /etc/hosts.allow ---- sshd: ALL を削除 ↓ sshd: xxx.xxx.xxx.192 を追加 ----
設定例2)アクセス元ホスト名(例:xxx.zone-express.jp)にて許可設定(緩い設定)
$ sudo vi /etc/hosts.allow ---- sshd: ALL を削除 ↓ sshd: .zone-express.jp を追加 ----
「xxx.xxx.zone-express.jp」 のxxx部分は任意の文字列です。ADSLからなどでダイナミックアドレスを使用されている場合などで、緩いアクセス元設定が可能です。
但し、セキュリティ的には、SSH公開鍵アクセス設定をお勧め致します。
認証ログ出力
下記ファイルにSSH認証ログが出力されます。
/var/log/authlog
※ファイルの確認には、root権限が必要です。
SSH可能なユーザを限定する
以下の手順でSSHが可能なユーザを限定する事が可能です。
- SSH許可グループ”sshuser”を作成する。
$ sudo groupadd sshuser
※グループ名は任意です。
- SSHを許可したいユーザをsshersグループに追加する。
$ sudo useradd -a -Gsshuser <許可ユーザ>
- SSH設定ファイルを編集する。
$ sudo vi /etc/ssh/sshd_config
.... # no default banner path #Banner /some/path # override default of no subsystems Subsystem sftp /usr/libexec/openssh/sftp-server
ページ最下部へ以下の様に追記します。
.... # no default banner path #Banner /some/path # override default of no subsystems Subsystem sftp /usr/libexec/openssh/sftp-server # SSHを以下のグループにのみ許可 AllowGroups sshuser
編集を保存後、SSHサービスを再起動し完了です。
$ sudo service sshd restart
