sshリモートアクセスの制限について

現在、メインサーバとして使っているのは、玄箱HGです。このサーバには、モニターをつなぐことも、キーボードをつなぐ事もできません。アクセスするには、sshを使ってリモートでログインします。また、外部からアクセスする事もあるので、アクセス制限を見直す事にしました。設定した内容は、次の通りです。

  • ログイン可能なユーザを制限する
  • 秘密鍵認証でのみ接続を許可する
  • rootに「su」できるユーザを制限する

以上について設定をまとめてみました。

sshでのログインの制限

設定ファイルは、/etc/ssh/sshd_configです。

rootでのログインを許可しない

PermitRootLogin No

ログイン可能なユーザーを設定する

AllowUsers AAAAA

SSH2でのみで接続する

Protocol 2

パスワードでの認証を許可しない(公開鍵認証でのみ接続を許可する)

PasswordAuthentication no

パスワードなしのログイン許可しない

PermitEmptyPasswords no

PAM認証を使わない

UsePAM no

公開鍵、秘密鍵の作成

公開鍵認証で接続するために、公開鍵と秘密鍵を作成します。作業は、ログインを許すユーザーで行います。

 kuroboxfo:~# su - AAAAA
 AAAAA@kuroboxfo:~$ ssh-keygen -t rsa
 Generating public/private rsa key pair.
 Enter file in which to save the key (/home/AAAAA/.ssh/id_rsa):[Enter]
 Created directory '/home/AAAAA/.ssh'.
 Enter passphrase (empty for no passphrase):**********[Enter]
 Enter same passphrase again:**********[Enter]

 Your identification has been saved in /home/AAAAA/.ssh/id_rsa.
 Your public key has been saved in /home/AAAAA/.ssh/id_rsa.pub.
 The key fingerprint is:
 06:46:61:36:e4:77:ab:f5:3b:ab:89:ef:2c:89:7d:e2 xxxx@xxxxx.ncom

公開鍵は、「/home/AAAAA/.ssh/id_rsa.pub」、秘密鍵は、「/home/AAAAA/.ssh/id_rs」です。

公開鍵の登録

 AAAAA@kuroboxfo:~$ cd /home/AAAAA/.ssh/
 AAAAA@kuroboxfo:~$ cat id_rsa.pub >> authorized_keys
 AAAAA@kuroboxfo:~$ rm -f /home/AAAAA/.ssh/id_rsa.pub
 AAAAA@kuroboxfo:~$ chmod 600 /home/AAAAA/.ssh/authorized_keys

秘密鍵をUSBメモリーなどに保存し、ターミナルで接続するときに使います。

suできるユーザーの制限

ユーザーをグループに追加する

usermod -G adm AAAAA

Gオプションをつけないとプライマリグループが変わってしまいます。

設定ファイルの変更

/etc/pam.d/suで以下の行を有効にする。

auth required pam_wheel.so group=adm
スポンサーリンク







シェアする

  • このエントリーをはてなブックマークに追加

フォローする