#contents
----
* ssh サーバ(OpenSSH) のセキュリティ設定 [#idf04c48]
Fedora Core 4 がセットアップされた直後は、ssh に対するアクセス制限が全くかけられておらず、セキュリティ上、非常に危険な状態です。
** TCP ラッパーによるアクセス制御 [#jb22df73]
ssh サーバは /etc/hosts.allow /etc/hosts.deny ファイルを参照してアクセス制限をかけることが出来ます。
まず、/etc/hosts.deny ファイルでは全ての ssh 接続を拒否する記述を行います。
sshd: ALL
それから /etc/hosts.allow ファイルに接続を許可する環境を記述します。&br;
以下は記述例です。
sshd: .example.co.jp
sshd: 192.168.1.0/255.255.255
TCP ラッパーでは hosts.allow ファイルが hosts.deny ファイルより優先されます。つまり、hosts.deny ファイルで一旦全ての ssh 接続を拒否する設定にしておいて、hosts.allow で接続を許可する環境を追加するという手順です。
※補足※ opensshの SRPM に含まれる openssh.spec を確認した所、openssh の configure 時に --with-tcp-wrappers の記述がありました。そのため、sshd_config ファイル中で特にアクセス制限を明示せずとも、telnet などのサービスのように /etc/hosts.allow hosts.deny によるアクセス制限( TCP ラッパー)の利用が可能です。もし、confiugre 時に --with-tcp-wrappers を含めず自分で OpenSSH のコンパイルを行ったときは使えませんので、注意が必要です。
** アクセスが拒否されたログの見方 [#i711620f]
Jun 21 21:23:52 sion sshd[7801]: refused connect from ::ffff:192.168.11.254 (::ffff:192.168.11.254)
こちらはアクセスが拒否されたという記録です。左から
接続日時 ホスト名 sshd[PID]: 接続を拒否 from 192.168.11.254 というホストから
![[Pocketstudio.jp Linux Wiki]](image/icon.gif "[Pocketstudio.jp Linux Wiki]"){kind=icon}
