Pocket

インフラメンバー(先輩)に
「sshをポートでユーザごとに制限かけれるように設定してほしい」と言われたので、
そもそもそんなことできるのか!?と自分の能力のなさに笑ってしまったので、とりあえず調べました。


■Matchってなんなの

クライアントの接続条件によって sshd の設定内容を変更するもの。
異なるポートで複数のコンフィグファイルを使用して別々にサーバを起動させないとダメなところを1つにまとめることができる。
ポート以外の条件でも異なる設定内容が使えたりなどなど。

とりあえずMatchを使えばユーザごとに制限できる!

# man sshd_configをしてみた。

訳)
マッチライン上の基準のすべてを満たしている場合には、次の行にキーワードが別のマッチライン
またはファイルのいずれかの端までのconfigファイルのグローバルセクションに設定されたものを上書きします。


■Matchで使えるキーワード

とりあえずこの6つが上書きされます。


■設定例

これでadachin、ec2-userのみsshできるようになりました!(解決)


■まとめ

ユーザごとに制限ができるので、SFTPもセキュリティー高められそう。
他にもポートだけじゃなく、ユーザグループも指定できるので、ここらへんは使い分けるといいですね。

参考:http://togakushi.bitbucket.org/build/html/OpenSSH_AdventCalendar2014/06.html

Pocket

カテゴリー: BlogSSH

adachin

1989年生まれのSRE。ホスティングから大規模なアドテクなどのインフラエンジニアとして携わる。現在はサービスの信頼性向上、DevOps、可用性、レイテンシ、パフォーマンス、モニタリング、オブザーバビリティ、緊急対応、AWS/Azureでのインフラ構築、Docker開発環境の提供、Kubernetes保守、インフラコード化、新技術の検証、リファクタリング、セキュリティ強化などを担当している。個人事業主では数社サーバー保守とベンチャー企業のSREインフラコンサルティングやMENTAで未経験者にインフラのコーチング/コミュニティの運用を実施している。また、「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください