Hai Adachinです。

そういえば今日は2/1!!!
もう2月なの!?と言いたいところですが、今食べたいのはシュラスコ。
まったく関係ないですが、
今日はsshdについてです。
インフラメンバー(先輩)に
「sshをポートでユーザごとに制限かけれるように設定してほしい」と言われたので、
そもそもそんなことできるのか!?と自分の能力のなさに笑ってしまったのでとりあえず調べました。


■Matchってなんなの

クライアントの接続条件によって sshd の設定内容を変更するもの。
異なるポートで複数のコンフィグファイルを使用して別々にサーバを起動させないとダメなところを1つにまとめることができる。
ポート以外の条件でも異なる設定内容が使えたりなどなど。

とりあえずMatchを使えばユーザごとに制限できる!

# man sshd_configをしてみた。

訳)
マッチライン上の基準のすべてを満たしている場合には、次の行にキーワードが別のマッチライン
またはファイルのいずれかの端までのconfigファイルのグローバルセクションに設定されたものを上書きします。


■Matchで使えるキーワード

とりあえずこの6つが上書きされます。


■設定例

これでadachin、ec2-userのみsshできるようになりました!(解決)


■まとめ

ユーザごとに制限ができるので、SFTPもセキュリティー高められそう。

他にもポートだけじゃなく、ユーザグループも指定できるので、ここらへんは使い分けるといいですね。

参考:http://togakushi.bitbucket.org/build/html/OpenSSH_AdventCalendar2014/06.html

The following two tabs change content below.

あだちん

1989年生まれ。 ランサーズ/SRE。 2013年新卒に自宅サーバを構築し、技術ブログを立ち上げた。 ホスティングから大規模なアドテクなどのインフラエンジニアとして携わり、他社インフラレスポンス改善、ランサーズにてサーバ系のお仕事も副業で行っている。未経験によるエンジニア勉強会なども実施している。そして「脆弱性スキャナVuls」のOSS活動もしており、広報/エバンジェリスト/VulsRepo init file,chatwork通知のコントリビュータでもある。現在は分析基盤を担当しておりDigdag,embulk,BigQueryを使いこなそうと奮闘中。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください