QA@IT
«回答へ戻る

回答を投稿

authorized_keys については既に話が出ているので他におすすめのアクセス制限としては、以下のような方法があります。

  • /etc/hosts.allow, /etc/hosts.deny で tcp wrapper の制限をする。
    • 変更したときに sshd の再起動が不要なので、制限の追加削除がしやすいです。
    • IPv6 アドレスは「sshd: 127.0.0.1 [::1]」のように [] でくくって指定する必要があります。
  • sshd_config の AllowUsers で接続元も制限する。
    • AllowUsers root@10.11.12.13 のようにユーザーと IP アドレスをセットで書いて制限出来るので、バックアップ先のサーバーからのみ root で入れるように制限出来ます。
  • sshd_config の PermitRootLogin は一番緩くしても without-password にして yes にはしない。
    • forced-commands-only の方が良いのですが、コマンドごとに鍵を用意するのが面倒なときには without-password にしてしまっています。
  • ufw limit 22/tcp のように ufw の limit で連続の接続を制限する。
    • 普通の問題ない接続に影響が出る可能性があるので、問題があれば allow に戻す必要があります。
authorized_keys については既に話が出ているので他におすすめのアクセス制限としては、以下のような方法があります。

* /etc/hosts.allow, /etc/hosts.deny で tcp wrapper の制限をする。
  * 変更したときに sshd の再起動が不要なので、制限の追加削除がしやすいです。
  * IPv6 アドレスは「sshd: 127.0.0.1 [::1]」のように [] でくくって指定する必要があります。
* sshd_config の AllowUsers で接続元も制限する。
  * AllowUsers root@10.11.12.13 のようにユーザーと IP アドレスをセットで書いて制限出来るので、バックアップ先のサーバーからのみ root で入れるように制限出来ます。
* sshd_config の PermitRootLogin は一番緩くしても without-password にして yes にはしない。
  * forced-commands-only の方が良いのですが、コマンドごとに鍵を用意するのが面倒なときには without-password にしてしまっています。
* ufw limit 22/tcp のように ufw の limit で連続の接続を制限する。
  * 普通の問題ない接続に影響が出る可能性があるので、問題があれば allow に戻す必要があります。