ssh サーバ(OpenSSH) のセキュリティ設定

 Fedora Core 4 がセットアップされた直後は、ssh に対するアクセス制限が全くかけられておらず、セキュリティ上、非常に危険な状態です。

TCP ラッパーによるアクセス制御

 ssh サーバは /etc/hosts.allow /etc/hosts.deny ファイルを参照してアクセス制限をかけることが出来ます。

 まず、/etc/hosts.deny ファイルでは全ての ssh 接続を拒否する記述を行います。

sshd: ALL

 それから /etc/hosts.allow ファイルに接続を許可する環境を記述します。
 以下は記述例です。

sshd: .example.co.jp
sshd: 192.168.1.0/255.255.255

 TCP ラッパーでは hosts.allow ファイルが hosts.deny ファイルより優先されます。つまり、hosts.deny ファイルで一旦全ての ssh 接続を拒否する設定にしておいて、hosts.allow で接続を許可する環境を追加するという手順です。

※補足※ opensshの SRPM に含まれる openssh.spec を確認した所、openssh の configure 時に --with-tcp-wrappers の記述がありました。そのため、sshd_config ファイル中で特にアクセス制限を明示せずとも、telnet などのサービスのように /etc/hosts.allow hosts.deny によるアクセス制限( TCP ラッパー)の利用が可能です。もし、confiugre 時に --with-tcp-wrappers を含めず自分で OpenSSH のコンパイルを行ったときは使えませんので、注意が必要です。

アクセスが拒否されたログの見方

Jun 21 21:23:52 sion sshd[7801]: refused connect from ::ffff:192.168.11.254 (::ffff:192.168.11.254)

 こちらはアクセスが拒否されたという記録です。左から

接続日時 ホスト名 sshd[PID]: 接続を拒否 from 192.168.11.254 というホストから

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: Wed, 22 Jun 2005 22:54:40 JST (6823d)