share facebook facebook twitter menu hatena pocket slack

2011.10.11 TUE

SSHログインをユーザ/グループで許可設定を行う

前回、PAM認証を利用してrootにスイッチについて紹介しましたので、今回は、SSHログインをユーザ/グループ単位での設定方法を紹介します。

ユーザ/グループ単位の設定をするには、下記の3ファイルを利用します。

  • /etc/pam.d/sshd
  • /etc/ssh/sshd_config
  • /etc/security/access.conf

はじめに、/etc/pam.d/sshdの設定です。
下記を最後に追加します。

account required pam_access.so

/etc/ssh/sshd_configは、下記の記述を確認します。

UsePAM yes

grep UsePAM sshd_config

最後に/etc/security/access.confです。

vi /etc/security/access.conf

#+ : root : 192.168.201.

+ : root : 100.100.100.100

#+ : john : 2001:4ca0:0:101::/64

+ : wheel : 10.10.10.10

#- : ALL : ALL

– : ALL : ALL

上記設定により、下記となります。

  • rootは、100.100.100.100からのみ接続可能
  • whellグループに属したユーザは10.10.10.10からのみ接続可能
  • 上記以外は拒否

実際にログで確認してみます。
まずは wheel グループに属しているユーザ確認です。

[root@cimacoppisecurity]#grep wheel /etc/group
wheel::10:root,test1

test1でsshログインをすると下記のようなログで、ログイン成功がわかります。

Oct 9 16:38:50 cimacoppi sshd[17712]: Accepted password for test1 from *.*.*.* port 9093 ssh2
Oct 9 16:38:50 cimacoppi sshd[17712]: pam_unix(sshd:session): session opened for user test1 by (uid=0)

test2でsshログインすると下記のようなログで、ログイン失敗がわかります。

Oct 9 16:40:01 cimacoppi sshd[17743]: pam_access(sshd:account): access denied for user `test2' from `219.117.233.241.static.zoot.jp'
Oct 9 16:40:01 cimacoppi sshd[17743]: Failed password for test2 from *.*.*.* port 47543 ssh2
Oct 9 16:40:01 cimacoppi sshd[17746]: fatal: Access denied for user test2 by PAM account configuration

こちらの記事はなかの人(be_hase)監修のもと掲載しています。
元記事は、こちら

長谷部 隆之

長谷部 隆之

別名cimacoppi。日々サーバ運用保守を行ってます!

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。