あまりにもアタックが多いから、特定ユーザしかログインできないようにしてみた。
sshを外部から許可しているせいか、かなりのアタックがあるので、とりあえずこちらで指定した任意のユーザのみsshで接続できるように設定。
グループやアクセス元も指定できるので使い勝手は良好かな。
設定方法は、/etc/pam.d/にあるsshdに下記を追加するだけ。
account required pam_access.so accessfile=/etc/security/sshd.conf
こんな感じで。
で、その後/etc/securityにsshd.confを作成し、その中でアクセス可能なユーザ・グループを指定した。
accessfileの記述はこちらのサイトが詳しい。
permission : users : origins
| permission | +(許可) / -(禁止) |
| users | ユーザ・グループ・ユーザ(ホスト指定)・全て user / group / user@host / ALL [EXCEPT] |
| origins | 接続元の指定 IPアドレス・ホスト名・ドメイン名・ローカルホスト・全て IP / host name / domain name / LOCAL / ALL [EXCEPT] ※ IPアドレスの最後にピリオド( . )をつける必要がある |
例えばこんな感じ。
+:hoge:ALL +:foo:hoge.com -:ALL:ALL EXCEPT 192.168.1.1. 192.168.1.2.
hogeはどこからでもOK、fooはhoge.comのドメインからはOK、それ以外のユーザは192.168.1.1か192.168.1.2以外からはNGって設定。
コメント