QA@IT
«回答へ戻る

RHEL6/CentOS6の場合の手順である旨追記。

0
 
 とりあえず、アクセス元を制限するというのは有効な手段だと思います。
 
-手順
+RHEL6/CentOS6の場合で申し訳ありませんが、
+以下、手順。
 
 ・/etc/pam.d/ssh
 以下の箇所に追記する。

この秘密鍵が流出してしまうと、いきなりログインして任意のプログラムが実行できてしまうので、セキュリティリスクの面で不安になっています。

というご心配でしたので、sshログインを許可するアクセス元IPアドレスを制限すると、秘密鍵が漏洩した場合のリスクが低減できると思います。

王道は、torusさんが回答している通り、公開鍵と組み合わせてコマンド制限ができるので、それを利用するのがよいと思います。しかし、これは、コマンド1つに公開鍵1つを用意しなければいけないので、要件を満たすにはかなり手間がかかるかもしれません。

とりあえず、アクセス元を制限するというのは有効な手段だと思います。

RHEL6/CentOS6の場合で申し訳ありませんが、
以下、手順。

・/etc/pam.d/ssh
以下の箇所に追記する。
account required pam_nologin.so
account required pam_access.so <<<<<<追記
account include system-auth

・/etc/ssh/sshd_config
UsePAM yes

・/etc/security/access.conf
例)grgrjnjnユーザのログインを、10.9.40.1からのみ許可して、それ以外からのログインは拒否する設定。

  • : grgrjnjn : ALL EXCEPT 10.9.40.1

・設定の反映
$ sudo /sbin/service sshd reload

参考)
http://d.hatena.ne.jp/grgrjnjn/20120531/1338439309

> この秘密鍵が流出してしまうと、いきなりログインして任意のプログラムが実行できてしまうので、セキュリティリスクの面で不安になっています。

というご心配でしたので、sshログインを許可するアクセス元IPアドレスを制限すると、秘密鍵が漏洩した場合のリスクが低減できると思います。

王道は、torusさんが回答している通り、公開鍵と組み合わせてコマンド制限ができるので、それを利用するのがよいと思います。しかし、これは、コマンド1つに公開鍵1つを用意しなければいけないので、要件を満たすにはかなり手間がかかるかもしれません。

とりあえず、アクセス元を制限するというのは有効な手段だと思います。

RHEL6/CentOS6の場合で申し訳ありませんが、
以下、手順。

・/etc/pam.d/ssh
以下の箇所に追記する。
account    required     pam_nologin.so
account    required     pam_access.so     <<<<<<追記
account    include      system-auth

・/etc/ssh/sshd_config
UsePAM yes

・/etc/security/access.conf
例)grgrjnjnユーザのログインを、10.9.40.1からのみ許可して、それ以外からのログインは拒否する設定。
- : grgrjnjn : ALL EXCEPT 10.9.40.1

・設定の反映
$ sudo /sbin/service sshd reload


参考)
http://d.hatena.ne.jp/grgrjnjn/20120531/1338439309

回答を投稿

この秘密鍵が流出してしまうと、いきなりログインして任意のプログラムが実行できてしまうので、セキュリティリスクの面で不安になっています。

というご心配でしたので、sshログインを許可するアクセス元IPアドレスを制限すると、秘密鍵が漏洩した場合のリスクが低減できると思います。

王道は、torusさんが回答している通り、公開鍵と組み合わせてコマンド制限ができるので、それを利用するのがよいと思います。しかし、これは、コマンド1つに公開鍵1つを用意しなければいけないので、要件を満たすにはかなり手間がかかるかもしれません。

とりあえず、アクセス元を制限するというのは有効な手段だと思います。

手順

・/etc/pam.d/ssh
以下の箇所に追記する。
account required pam_nologin.so
account required pam_access.so <<<<<<追記
account include system-auth

・/etc/ssh/sshd_config
UsePAM yes

・/etc/security/access.conf
例)grgrjnjnユーザのログインを、10.9.40.1からのみ許可して、それ以外からのログインは拒否する設定。

  • : grgrjnjn : ALL EXCEPT 10.9.40.1

・設定の反映
$ sudo /sbin/service sshd reload

参考)
http://d.hatena.ne.jp/grgrjnjn/20120531/1338439309

> この秘密鍵が流出してしまうと、いきなりログインして任意のプログラムが実行できてしまうので、セキュリティリスクの面で不安になっています。

というご心配でしたので、sshログインを許可するアクセス元IPアドレスを制限すると、秘密鍵が漏洩した場合のリスクが低減できると思います。

王道は、torusさんが回答している通り、公開鍵と組み合わせてコマンド制限ができるので、それを利用するのがよいと思います。しかし、これは、コマンド1つに公開鍵1つを用意しなければいけないので、要件を満たすにはかなり手間がかかるかもしれません。

とりあえず、アクセス元を制限するというのは有効な手段だと思います。

手順

・/etc/pam.d/ssh
以下の箇所に追記する。
account    required     pam_nologin.so
account    required     pam_access.so     <<<<<<追記
account    include      system-auth

・/etc/ssh/sshd_config
UsePAM yes

・/etc/security/access.conf
例)grgrjnjnユーザのログインを、10.9.40.1からのみ許可して、それ以外からのログインは拒否する設定。
- : grgrjnjn : ALL EXCEPT 10.9.40.1

・設定の反映
$ sudo /sbin/service sshd reload


参考)
http://d.hatena.ne.jp/grgrjnjn/20120531/1338439309