サーバーを構築するときに
セキュリティを意識しろ。とよく言われますが
具体的に何すればいいのか。
rootを廃止、sshポートの変更、アクセスできるユーザーの制限などなど
挙げればキリがないですがそのうちまとめます。
今回は、sshできるIPを制限する方法を書き溜めます。
AuthorizedKeysFileを使用します。
概要
AuthorizedKeysFileとは
IPでログインを制限する場合、AuthorizedKeysFileを修正します。
AuthorizedKeysFileとは、公開鍵認証でsshログインする際に使用するファイルです。
実体は公開鍵のリストファイルです。
公開鍵とその鍵を使用した際の挙動を設定するファイルです。
デフォルトでは~/.ssh/authorized_keys を使用します。
パスが「~/」なので各ユーザーごとに設定するものです。
例えば下記のように公開鍵を記述することで、
対応する秘密鍵でsshログインできるようになります。
|
1 |
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC5v5xtFa94H6Hd6jbXiC5Q/UipJm7G/BSd0TosCFurOy1v20osBZ/xKpW3vbtuTkRZeOl9ZzQORLk0aLGl23F9gdr3D9sWZ0m0vvAln1OSKTOr6a8aGTSRzSL10fyncwTN1uYTXl9oTlhaH8B7NopChbi19LXjMuzetIwsrnP9UWg3xj31UbBWpxBx2v9ny7bdpaSpJhI5w2M7PlagyDN8uZt5wPczb3C2mx6A6WnF+fM70WvXyVaKyqo4dWAuOLXCkoLoM8BXGcqe879elV9SkIdnsCJw+ya8oLnjXEDW1Xw9Xgd7XUlUBvG9BGbHyF/Ssp+xGihIP11R+9k5s+Ul noffuy@MacBook-Air.local |
このAuthorizedKeyFileを修正してIP制限をかけてみましょう。
AuthorizedKeysFileにfromを記述
~/.ssh/authorized_keysで公開鍵の先頭にfromを記述します。
192.168系からのアクセスのみ許可する場合、from="192.168.*.*"と書きます。
|
1 |
from="192.168.*.*" ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC5v5xtFa94H6Hd6jbXiC5Q/UipJm7G/BSd0TosCFurOy1v20osBZ/xKpW3vbtuTkRZeOl9ZzQORLk0aLGl23F9gdr3D9sWZ0m0vvAln1OSKTOr6a8aGTSRzSL10fyncwTN1uYTXl9oTlhaH8B7NopChbi19LXjMuzetIwsrnP9UWg3xj31UbBWpxBx2v9ny7bdpaSpJhI5w2M7PlagyDN8uZt5wPczb3C2mx6A6WnF+fM70WvXyVaKyqo4dWAuOLXCkoLoM8BXGcqe879elV9SkIdnsCJw+ya8oLnjXEDW1Xw9Xgd7XUlUBvG9BGbHyF/Ssp+xGihIP11R+9k5s+Ul noffuy@MacBook-Air.local |
これだけ。簡単!
もっとしっかり知りたいよ。って人はここを見てね。
linux サーバーって面白いよね。
じゃあね〜〜〜〜。