ユーザ | ログイン可能なアドレス |
---|---|
everywhere | anyから可能 |
admin | IPアドレスを制限 192.168.0.128/25を許可 |
クライアント側での操作:from 192.168.0.127
$ ifconfig | head -n 20
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether **:**:**:**;**;**
inet6 **** prefixlen 64 secured scopeid 0x5
inet 192.168.0.127 netmask 0xffffff00 broadcast 192.168.0.255
nd6 options=201<PERFORMNUD,DAD>
media: autoselect
status: active
admin は制限
$ ssh admin@vm-dmz.hrsk
admin@vm-dmz.hrsk's password:
Permission denied, please try again.
admin@vm-dmz.hrsk's password:
everywhere は許可
$ ssh everywhere@vm-dmz.hrsk
sshd-server側のログ
$ sudo systemctl status -l sshd
[sudo] ****** のパスワード:
● sshd.service - OpenSSH server daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
Active: active (running) since 木 2019-04-25 02:48:40 JST; 10min ago
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 16680 (sshd)
CGroup: /system.slice/sshd.service
└─16680 /usr/sbin/sshd -D
#### adminは拒否(from 192.168.0.127)
4月 25 02:58:33 vm-dmz.hrsk sshd[17377]: User admin from 192.168.0.127 not allowed because not listed in AllowUsers
4月 25 02:58:33 vm-dmz.hrsk sshd[17377]: input_userauth_request: invalid user admin [preauth]
4月 25 02:58:36 vm-dmz.hrsk sshd[17377]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.127 user=admin
4月 25 02:58:38 vm-dmz.hrsk sshd[17377]: Failed password for invalid user admin from 192.168.0.127 port 65440 ssh2
4月 25 02:58:39 vm-dmz.hrsk sshd[17377]: Connection closed by 192.168.0.127 port 65440 [preauth]
#### eeverywhereは許可(from 192.168.0.127)
4月 25 02:58:46 vm-dmz.hrsk sshd[17382]: Accepted publickey for everywhere from 192.168.0.127 port 65441 ssh2: RSA SHA256:****
sshd_config
Protocol 2 # use ssh-protool v2
PermitRootLogin no # rootはリモートログイン不可
PubkeyAuthentication yes # 公開鍵認証を使用可
PasswordAuthentication yes # パスワード認証を使用可
PermitEmptyPasswords no # パスワードなしはログイン不可
....
AllowUsers everyone
AllowUsers auditor@192.168.0.0/16
AllowUsers admin@192.168.0.128/25 # allow 0.128-255
....
最後に
実務でNWを見ている。クライアントIPとサーバIPの組み合わせでセキュリテイ区画を区切っているが、開発工程で(本番化前、後)細々と可否設定が必要。なんでもNW機器のACLで制限させようとするが、サーバでもやりたいことができるという反証。