![[Pocketstudio.jp Linux Wiki]](image/icon.gif "[Pocketstudio.jp Linux Wiki]"){kind=icon}
FC4/ssh/ssh サーバのセキュリティ設定
http://pocketstudio.jp/linux/?FC4%2Fssh%2Fssh%20%A5%B5%A1%BC%A5%D0%A4%CE%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%C0%DF%C4%EA
ssh サーバ(OpenSSH) のセキュリティ設定 †Fedora Core 4 がセットアップされた直後は、ssh に対するアクセス制限が全くかけられておらず、セキュリティ上、非常に危険な状態です。 TCP ラッパーによるアクセス制御 †ssh サーバは /etc/hosts.allow /etc/hosts.deny ファイルを参照してアクセス制限をかけることが出来ます。 まず、/etc/hosts.deny ファイルでは全ての ssh 接続を拒否する記述を行います。 sshd: ALL それから /etc/hosts.allow ファイルに接続を許可する環境を記述します。 sshd: .example.co.jp sshd: 192.168.1.0/255.255.255 TCP ラッパーでは hosts.allow ファイルが hosts.deny ファイルより優先されます。つまり、hosts.deny ファイルで一旦全ての ssh 接続を拒否する設定にしておいて、hosts.allow で接続を許可する環境を追加するという手順です。 ※補足※ opensshの SRPM に含まれる openssh.spec を確認した所、openssh の configure 時に --with-tcp-wrappers の記述がありました。そのため、sshd_config ファイル中で特にアクセス制限を明示せずとも、telnet などのサービスのように /etc/hosts.allow hosts.deny によるアクセス制限( TCP ラッパー)の利用が可能です。もし、confiugre 時に --with-tcp-wrappers を含めず自分で OpenSSH のコンパイルを行ったときは使えませんので、注意が必要です。 アクセスが拒否されたログの見方 †Jun 21 21:23:52 sion sshd[7801]: refused connect from ::ffff:192.168.11.254 (::ffff:192.168.11.254) こちらはアクセスが拒否されたという記録です。左から 接続日時 ホスト名 sshd[PID]: 接続を拒否 from 192.168.11.254 というホストから |
