USB-RS232アダプタを介してサポートする必要があるデバイスに接続するためにクライアントサイトで使用できるようにRaspberry-Piを含むリバースSSHデバイスを設定しました。お客様のITスタッフと一緒に問題を解決し、デバイスが設定、テストされ、正常に動作します。
それ以外の場合ローカルネットワークアクセスの強化、リバースSSHトンネルを介したログインのみを許可し、ローカルの顧客ネットワークの誰もログインできないようにログインを制限したいと思います。
発信するリバースSSH接続は、パスワードなしで4096ビットキーファイルを使用してサーバーに接続しますが、リバースSSH接続を介してサーバーからPiに再接続すると、ユーザー/パスワードのプロンプトが表示されます。これは私にとって問題ではありませんが、ローカルTelnetまたはSSHを使用してローカルにログインするすべての人の能力を制限することが心配です。唯一有効なアカウントに良いパスワードを設定しておいたので、誰が正常にログインできるのか疑問です。
メンテナンス目的で接続されたUSBキーボードを使用してローカルコンピュータにログインできることをお勧めしますが、必須ではありません。デバイスは、ロックされた部屋のロックされた金属製のエンクロージャ内にあるため、不正な物理的アクセスは大きな問題ではありません。リバースSSHトンネルを介してSSHログインを許可しながら、TelnetおよびSSHログインへのローカルネットワークアクセスをロックしたいと思います。
ベストアンサー1
RPissh
デーモンの場合sshd_config
とAllowUsers
オプションを参照してください。ここでホスト名を指定できます。
リバーストンネリングなので、接続がlocalhost
他の場所から来ることがあります。
AllowUsers yourusername@localhost
場所/etc/ssh/sshd_config
(またはOSが配置する場所)で十分です。変更した後は、再起動sshd
(または単にSIGHUP)することを忘れないでくださいsshd_config
。
ただタッチするだけで、sshd
シリアルコンソールのログインには影響しません。