外部は公開鍵認証,内部はパスワード認証 (2011/06/23)

外部ネットワークと内部ネットワークを結ぶゲートウェイマシンのOpenSSHサーバにおいて,外部ネットワークからは公開鍵認証,内部ネットワークからはパスワード認証ができれば,内部からのリモートアクセスの利便性を損わず,外部からのアクセスに対してある程度セキュリティレベルを上げることが可能です.OpenSSHにはそのような認証方法の切り分けが可能です.ここでは,内部ネットワークを192.168.0.0/24とし,パスワード認証(およびrootログイン)を内部ネットワークからは可,外部ネットワークからは不可とする設定方法を紹介します.

パスワード認証およびrootログインを不可としたOpenSSHサーバの設定ファイル /etc/ssh/sshd_config 内で Match Address を追加します.

PermitRootLogin no                   <-- rootログインを不可
PasswordAuthentication no            <-- パスワード認証を不可
PermitEmptyPasswords no              <-- 空パスワードを不可
ChallengeResponseAuthentication no   <-- チャレンジ・レスポンス認証を不可

Match Address 192.168.0.0/24         <-- 192.168.0.0/24からのアクセスであれば
  PermitRootLogin yes                  <-- rootログインを許可
  PasswordAuthentication yes           <-- パスワード認証を許可

追加をした後に,OpenSSHサーバを再起動します.

local$ sudo service sshd restart       <-- CentOS の場合
local$ sudo /etc/init.d/ssh restart    <-- Debian GNU/Linux の場合

梅原 大祐 / UMEHARA Daisuke umehara@kit.ac.jp
Last modified: 2020/05/01 15:37
Total Access Count