特定のユーザーだけがあるポートでsshを介してログインすることを許可し、他のユーザーが別のポートを介してログインすることを許可します。

代替ポートで実行することはもはやSSH安全とは見なされません。これは、ユーザーにもっと曖昧さと複雑さを追加するだけです。自動ポートスキャナを使用し、どのポートで実行されているか気にしないことでネットワークを損傷したい人には障壁はまったくありません。

リモートインバウンドインターネットベースのSSHを許可するシステムのセキュリティを強化するには、次のユーザーを制御します。sshd_config@Anthon directsユーザーを制御し、PAMに直接セキュリティを実装します。

2つのグループを作成lusersしますrusers。リモートモバイルユーザーをrusersグループに追加します。使用pam_succeed_if.soPAMモジュールを使用すると、これらのユーザーへのアクセスが許可されます。 SSH の pam 構成に次の行を追加します。

account     sufficient  pam_succeed_if.so user ingroup lusers
account     sufficient  pam_succeed_if.so user ingroup rusers

一部のpam_succeed_if.soモジュールでは、わずかに異なる構文を使用する必要がありますgroup = lusers。

これによりsshd、接続できる人を制限するだけでなく、エラーが発生した場合でもsshdPAMベースの制限によって提供される保護を受けることができます。

リモートユーザーのもう1つのステップは、パスワードでssh_keysを強制することです。したがって、ローカルユーザーはキーまたはパスワードでログインできますが、リモートユーザーはキーを持っている必要があり、そのユーザーのキーを生成すると、キーに関連付けられたパスワードがあることを確認できます。したがって、実際にSSHキーがある場所へのアクセスが制限されます。そしてパスワード。ユーザーパスワードが破損した場合の潜在的な攻撃ベクトルを制限します。

存在するsshd_config：

2つの設定を変更する：

ChallengeResponseAuthentication yes

そして

PasswordAuthentication yes

到着する：

ChallengeResponseAuthentication no

そして

PasswordAuthentication no

したがって、デフォルトではキー認証のみが許可されます。その後、ローカルユーザーの場合は、match構成設定を使用してローカルユーザーのデフォルト設定を変更できます。ローカルプライベートネットワークが192.168.1.0/24であるとし、次に追加しますsshd_config。

Match Address 192.168.1.0/24
PasswordAuthentication yes

ローカルユーザーはパスワードまたはキーを使用して接続できるようになりましたが、リモートユーザーはキーを使用する必要があります。パスワードを使用してキーを生成できます。

追加のボーナスとして、1つだけを管理し、1つのポートsshd_configでのみsshを実行する必要があるため、自分で管理が簡素化されます。

2017-01-21 編集- ファイルの使用を制限しますauthorized_keys。

authorized_keysユーザーが自分のSSHキーを生成し、それをファイルと共に使用してログインできないようにするには、sshdが認証されたキーを見つける特定の場所を設定してそれを制御できます。

変更/etc/ssh/sshd_config:

AuthorizedKeysFile  %h/ssh/authorized_keys

類似:

AuthorizedKeysFile  /etc/.ssh/authorized_keys/%u

ユーザーが書き込み権限のない制御されたディレクトリを指すとは、ユーザーが自分のキーを生成できず、それを使用して設定されたルールをバイパスできないことを意味します。