【無料ツールで作るセキュアな環境(44)】〜OpenSSH 4〜(執筆:office) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.22(日)

【無料ツールで作るセキュアな環境(44)】〜OpenSSH 4〜(執筆:office)

特集 特集

 前回はsshdの起動方法について解説した。今回はsshdの設定について説明しよう。

 sshdの動作に関する設定はsshd_configで行う。このファイルの場所は usr/local/etc/sshd_config ないしは /etc/sshd_config である。また一般ユーザのプロセスとしてsshdを起動する場合は、各ユーザの ~/.ssh/ ディレクトリに sshd_config を作成しなければならない。OpenSSHインストール直後の /etc/sshd_config の記述内容のうち、今回の解説に関係ある部分を抜粋すると、
Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::
HostKey /etc/ssh_host_key
HostKey /etc/ssh_host_rsa_key
HostKey /etc/ssh_host_dsa_key
PermitRootLogin yes
X11Forwarding no
Subsystem sftp /usr/sbin/sftp-server

という具合になっている。

・Port
sshdの待ち受けport番号の指定。一般ユーザ権限でsshdを動かすときには、1024以上のport番号を指定しなければならない。sshd起動時に -p オプションでport番号を指定することも可能だ。

・Protocol
プロトコルとしてSSH1、SSH2のいずれを使うかの指定。コメントアウトしてあるデフォルト時には両プロトコルが使える。片方のプロトコルを使う場合にはコメントアウトの#を消し、引数として一方の数字だけを指定すればよい。

・ListenAddress
接続を許可するホストと、そのホストからの接続を受け付けるPort番号の指定。ListenAddressの記述行はPortの記述行より後に書くこと。複数のホストからの接続を受け付ける場合にはListenAddress行を複数書く。ListenAdressを指定した場合、localhost等も明示的に指定しないと接続は拒否される。

接続拒否、接続許可サイトの指定は、ListenAddressに記述する代わりに、/etc/host.denyファイルと/etc/host.allowファイルでそれぞれ接続拒否、接続許可サイトを設定する方法もある。/etc/hosts.denyには


sshd: ALL

と一度全てのホストからの接続を拒否として記述しておき、/etc/hosts.allowで

sshd: 192.168.0.0/255.255.255.0

のように接続許可するホストを後から明示的に設定するのがよい。

office
office@ukky.net
http://www.office.ac/

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×