これで、チームはSSH公開鍵認証を介してサーバーに接続できます。各チームメンバーは自分のPCに秘密鍵を持ち、~/.ssh/公開鍵はサーバー上のファイルにありますauthorized_key。
各チームメンバーに割り当てられたPCのみがサーバーへのSSH接続を承認するように要求されました。
実際、チームメンバーがそのコンピュータへのルートアクセス権を持っていなくても、理論的にはホームフォルダから秘密鍵をコピーし、別のコンピュータで使用してサーバーに接続できるようになりました。だから私の質問はこれを行う方法です。
私は多くの文書を読んで、私に最適なものが何であるかをテストしました。ホストベース認証。
これが私の問題に対する完璧な解決策のようです。各 PC には、非/etc/ssh/root ユーザーが読み取ることができず、既存の公開鍵認証構成に加えて認証をホストするために使用される秘密鍵があります。
私が経験している問題は、SSHクライアントがサーバーに送信するホスト名にあります。私が接続されているネットワークに従って送信されるホスト名が、、であることを確認fooMachine.localdomainしfooMachine.homeましたfooMachine。
使ってssh -vvv user@ipみると
debug2: userauth_hostbased: chost ...
これに注意してください。
PCが常に同じネットワーク上のSSHサーバーに接続されているわけではなく、VPNや固定IPはありません。
fooMachine.localdomainしたがって、これが意味するのは、SSHサーバーで何度も(、、、fooMachine.home)接続するようにホストを宣言する必要があり、fooMachineネットワークに接続した後に別のサフィックスを持つようになり、fooMachine接続できないことが発生する可能性があることです。私のサーバーに接続してください。
この問題をどのように解決できますか?それとも私が何か間違っているのでしょうか?
fooMachine.test.com再起動後もhostname --fqdn表示されたSSHクライアントfooMachine.test.comで使用されるホスト名は同じですfooMachine.localdomain。
また、サーバーに接続するホストを宣言したSSHサーバーのshosts.equivファイルでワイルドカードを試しましたが、機能しませんでした。読んだ後ソースコードこれはワイルドカード(+rhostsスタイルファイルの場合)が無視されるため意味があります。
ベストアンサー1
特定の秘密鍵で認証を試みるときに許可される制限を追加する一般的な方法は次のとおりです。 ~/.ssh/authorized_keysfrom="pattern-list"サーバー上のファイル - 特にユースケースに合わせて、このオプションを使用して特定のキーペアを使用できるホストを構成/制限する機能。
たとえば、
# ~/.ssh/.authorized_keys
from="10.80.0.0/14,192.168.1.2,hbruijns-workstation.internal.example.com" ssh-rsa AAAAB3NzaC1y***...***== hbruijn@serverfault
たとえば、一致する秘密鍵を使用して、hbruijns-workstation.internal.example.comIPアドレス192.168.1.2および/または範囲内のすべてのIPアドレスでのみログインを許可します10.80.0.0/14。
追加の改善により、 ~/.ssh/.authorized_keys をサーバー管理者の制御下に置くことで、チームメンバーがこの制限を無視できないようにすることができます。
私がすでに言及していて、あなたが言及したように、ネットワークが信頼できるクライアントに依存するセキュリティモデルを実装するための前提条件をサポートしていない場合、これはあまり役に立ちません。
- 信頼できる顧客を識別するための信頼できる方法が必要です。
クライアントに固定IPおよび/またはホスト名が割り当てられていない場合、この方法は機能しません(他の方法も同様です)。
だから要求「各チームメンバーに割り当てられたPCのみがサーバーへのSSH接続を承認します。」 チームメンバーPCに必要な静的IPアドレス割り当てを取得したり、チームメンバーがVPNを介して接続したりできる管理ネットワークなどの要求は拒否または拒否する必要があります。