トップ   編集 編集(GUI) 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS

Telnet/SSHで接続制限

Last-modified: 2015-01-25 (日) 02:57:04 (1604d)
Top / Telnet / SSHで接続制限

Telnet/SSHで接続制限

単にログインさせたくない場合は、nologinにすれば良いのだが、以下の要件の場合はそれが使えない。

要件対象ユーザの直接的なリモートログインを禁止したい。
ただし、suコマンドでログインさせたい為、nologinは使用しない。

したがって、シェルを規制するのではなく、Telnet・SSH側で規制する必要がある。

SSHの接続制限設定方法はNET上に多くあるが、Telnetの情報は思ったより少なく、ここにメモしておく。

無論、下記は自己責任で。(CentOS3)

SSHでの接続制限

●以下例では「deaduser」ユーザを禁止する設定とする

sshd_configを編集する

# vi /etc/ssh/sshd_config

以下を追記

DenyUsers deaduser

サービスをリロードする。読み込ませないと適用されない

# /etc/init.d/sshd reload

Telnetでの接続制限

●以下例では「deaduser」ユーザを禁止する設定とする

pamのファイルを編集する。編集するファイルは、ディストリビュージョンよって編集するファイルが異なるので注意が必要。

※CentOS2.1・RHEL AS2.1 etc

# vi /etc/pam.d/login

※CentOS3・RHEL WS3 etc (たぶんCentOS4・5はこっち)

# vi /etc/pam.d/remote

以下を追記する。(※ディストリビュージョンによってPathが異なる可能性があるが、CentOS4・5は下記の通り)

account required /lib/security/pam_access.so

/etc/security/access.confファイルを編集する。このファイルで、禁止ユーザを設定する。

# vi /etc/security/access.conf

以下を追記

-:deaduser:ALL
-+は許可設定 -は禁止設定
deaduserユーザ設定 deaduserユーザ が対象
ALLALLつまり全てを禁止

(PAM設定の為reloadは不要 又、SSHへの影響は制御ファイルが異なるので無い)