SSHログインをユーザ/グループで許可設定を行う
前回PAM認証について書きましたので、
今回はSSHログインをユーザ/グループ単位での設定方法を書きます。
ユーザ/グループ単位の設定をするには下記の3ファイルを利用します。
・/etc/pam.d/sshd
・/etc/ssh/sshd_config
・/etc/security/access.conf
まずは/etc/pam.d/sshdの設定です。
下記をラストに追加します。
account required pam_access.so
/etc/ssh/sshd_configは
UsePAM yes
の記述を確認します。
grep UsePAM sshd_config
最後に/etc/security/access.conf
です。
vi /etc/security/access.conf
#+ : root : 192.168.201.
↓
+ : root : 100.100.100.100
#+ : john : 2001:4ca0:0:101::/64
↓
+ : wheel : 10.10.10.10
#- : ALL : ALL
↓
- : ALL : ALL
上記設定で
・rootは、100.100.100.100からのみ接続可能
・whellグループに属したユーザは10.10.10.10からのみ接続可能
・上記以外は拒否
となります。
実際にログで確認してみます。
まずは wheel グループに属しているユーザ確認です。
[root@cimacoppisecurity]#grep wheel /etc/group
wheel::10:root,test1
test1でsshログインをすると下記のようなログで、ログイン成功がわかります。
Oct 9 16:38:50 cimacoppi sshd[17712]: Accepted password for test1 from *.*.*.* port 9093 ssh2
Oct 9 16:38:50 cimacoppi sshd[17712]: pam_unix(sshd:session): session opened for user test1 by (uid=0)
test2でsshログインすると下記のようなログで、ログイン失敗ががわかります。
Oct 9 16:40:01 cimacoppi sshd[17743]: pam_access(sshd:account): access denied for user `test2' from `219.117.233.241.static.zoot.jp'
Oct 9 16:40:01 cimacoppi sshd[17743]: Failed password for test2 from *.*.*.* port 47543 ssh2
Oct 9 16:40:01 cimacoppi sshd[17746]: fatal: Access denied for user test2 by PAM account configuration
今回はSSHログインをユーザ/グループ単位での設定方法を書きます。
ユーザ/グループ単位の設定をするには下記の3ファイルを利用します。
・/etc/pam.d/sshd
・/etc/ssh/sshd_config
・/etc/security/access.conf
まずは/etc/pam.d/sshdの設定です。
下記をラストに追加します。
account required pam_access.so
/etc/ssh/sshd_configは
UsePAM yes
の記述を確認します。
grep UsePAM sshd_config
最後に/etc/security/access.conf
です。
vi /etc/security/access.conf
#+ : root : 192.168.201.
↓
+ : root : 100.100.100.100
#+ : john : 2001:4ca0:0:101::/64
↓
+ : wheel : 10.10.10.10
#- : ALL : ALL
↓
- : ALL : ALL
上記設定で
・rootは、100.100.100.100からのみ接続可能
・whellグループに属したユーザは10.10.10.10からのみ接続可能
・上記以外は拒否
となります。
実際にログで確認してみます。
まずは wheel グループに属しているユーザ確認です。
[root@cimacoppisecurity]#grep wheel /etc/group
wheel::10:root,test1
test1でsshログインをすると下記のようなログで、ログイン成功がわかります。
Oct 9 16:38:50 cimacoppi sshd[17712]: Accepted password for test1 from *.*.*.* port 9093 ssh2
Oct 9 16:38:50 cimacoppi sshd[17712]: pam_unix(sshd:session): session opened for user test1 by (uid=0)
test2でsshログインすると下記のようなログで、ログイン失敗ががわかります。
Oct 9 16:40:01 cimacoppi sshd[17743]: pam_access(sshd:account): access denied for user `test2' from `219.117.233.241.static.zoot.jp'
Oct 9 16:40:01 cimacoppi sshd[17743]: Failed password for test2 from *.*.*.* port 47543 ssh2
Oct 9 16:40:01 cimacoppi sshd[17746]: fatal: Access denied for user test2 by PAM account configuration
by cimacoppi
| 2011-10-09 16:42
| Linux
検索
最新の記事
mod_line_editを.. |
at 2012-12-14 22:25 |
nagiosでOracleの.. |
at 2012-12-13 12:25 |
s3cmdでmultipar.. |
at 2012-12-06 15:59 |
tcpservr をssl化する |
at 2012-03-10 21:50 |
telnetコマンドでpop.. |
at 2012-03-06 15:59 |
最新のトラックバック
LInk
アイレット株式会社
ANDROID IRET
iret-ceo
suz-lab
猪突猛進
It's a Smile World
Mのチラ裏
させているブログ
Lykeion Promenade
cf-note
MEMO 4 ME
CTOA日記
わん国謀報部員
物欲の罅
TOY BOX
わん国謀報部員
moz'B
hajulab
秘密結社ぎゅう☆ぎゅう倶楽部
molog
ナシメモ
雑草魂
メモリークラフト
klog
-----------------------
cloudpack
cloudpackブログ
Amazon EC2
クラウド
android
android 開発
Teeda
エステ
自閉症
漢方
自閉症 漢方
横浜 ウェディング
ANDROID IRET
iret-ceo
suz-lab
猪突猛進
It's a Smile World
Mのチラ裏
させているブログ
Lykeion Promenade
cf-note
MEMO 4 ME
CTOA日記
わん国謀報部員
物欲の罅
TOY BOX
わん国謀報部員
moz'B
hajulab
秘密結社ぎゅう☆ぎゅう倶楽部
molog
ナシメモ
雑草魂
メモリークラフト
klog
-----------------------
cloudpack
cloudpackブログ
Amazon EC2
クラウド
android
android 開発
Teeda
エステ
自閉症
漢方
自閉症 漢方
横浜 ウェディング