QA@IT

sshの接続制限について(CentOS6.6)

3482 PV

CentOSでsshの接続制限についてですが、接続制限をするには
/etc/sysconfig/iptables
/etc/hosts.allow、deny
etc/ssh/sshd_config 内のAllowUsers

と3つあると思うのですが、どのファイルの設定が優先されるのでしょうか?

回答

すべて別の目的で利用するものですので優先度という表現はちょっと違和感を覚えますが、
どれか一つでも拒否されればつながりません。

何を制限したいのか次第です。
iptables で22番をブロックしても違うポートで sshd が公開されれば接続できます。
iptables でインバウンドをブロックしたりや hosts.deny で制限しても違うホストから接続すれば接続できます。
Allow_Users は接続ユーザーの許可なので、すでに許可されているユーザーを削ったとしても別で接続できるユーザーを使えば接続できます。

sshd は一切合財接続できなくしたいのであれば sshd を停止すればいいです。
(一応書いておきますが sshd でリモート接続できなくなっても物理マシン上で作業すれば作業はできます。)

「優先度」がパケットだとか処理が破棄されるタイミングの事を言っているのであれば、iptables が一番早くその通信を遮断します。次が TCP wrappers (hosts.allow, hosts,deny)、最後にsshdの順に通信や処理を拒否する事になると思います。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。