SSHのMatchディレクティブによる設定
OpenSSHではsshd_configやssh_configでMatchディレクティブが使える。
Match User
Match Group
Match Host
Match Address
Match Address 192.168.0.1/24
Match Address 192.160.0.0/24
Match Address 192.168.0.*
カンマ区切りで複数のパターンも指定できる。
注意点
Match Address 192.169.0.1 192.168.0.2のように区切りのカンマを抜かしてしまってsshdをこかしたことがある。
コンソールからログインして修正するまでリモートから作業できなくなった。
古いsshセッションからログアウト前に新しくsshセッションでログインできることを確認すべし!
例
rootのログインを許可する
PermitRootLoginをyesにする。
デフォルトは prohibit-password。昔はwithout-passwordって言ってたやつ。
forced-commands-onlyで使用できるコマンドを制限することもできる。
公開鍵のcommandオプションを設定しなければならない。
code:/etc/ssh/sshd_config
Match Address 192.168.0.*
PermitRootLogin yes
パスワード認証を許可する
PasswordAuthenticationをyesにする。sshd_configのデフォルトはこれ。
code:/etc/ssh/sshd_config
Match Address 192.168.0.*
PasswordAuthentication yes
参考ページ
https://gist.github.com/TakashiSasaki/9656592
OpenSSHのMatchディレクティブを利用したアクセスコントロール
関連項目
OpenSSH
SSH