サーバー用にSSHD構成をカスタマイズする
Advanced Server Accessのシステム統合モデルを使用すると、Advanced Server Accessを用いたシステム構成の幅広いカスタマイズが可能になります。たとえば、Advanced Server Accessの管理者はSSHD構成を使用して、接続を開始するクライアントへのサーバーの応答方法をカスタマイズできます。
Advanced Server Access エージェント(sftd)がSSHD構成ファイル(/etc/ssh/sshd_config)に追加できるのは、コメントも含めて2~4行のみです。
以下は、Advanced Server Accessの管理者がSSHD構成ファイルをカスタマイズする方法の例です。
SSHDでAdvanced Server Access以外の認証を防止する
特定のグループのメンバーがAdvanced Server Access以外の資格情報で認証されないようにするには、Match(一致)グループを使用してAuthorized Key(認証済みキー)ファイルのルールを設定します。以下のコードは、「asa_dev」というUNIXグループのメンバーがAdvanced Server Access以外の資格情報で認証されるのを防止します。
Match Group asa_dev AuthorizedKeysFile none AuthenticationMethods publickey PubkeyAcceptedKeyTypes <insert-accepted-key-here>Match(一致) グループは、Advanced Server Accessが管理するグループの名前をリストする必要があります。
Match(一致)ブロックの最初の行は、次のように表示されます:Match Group <ASA-managed-group-name>
対話型のBastion (踏み台)サインインを防止する
ユーザーがBastion (踏み台)で対話型サインインを実行するのを防ぐには、PermitTTY noという値を使ってこの制限を適用するMatch Groupを作成します。Match Group(一致グループ)ブロックを使用すると、特定のグループ内のすべてのユーザーに対して制限を設定できます。Advanced Server Accessの管理者である場合は、ご自身をこのグループに追加しないでください。この動作のためにyamlファイルを構成することなく、次の構成をSSHDに直接追加できます。
Match Group asa_dev PermitTTY noBastion (踏み台)のデプロイメントではTTYの無効化がベストプラクティスですが、すべての形式のリモート実行が阻止されることを保証するものではありません。不要なアクセスを防ぐためにBastion (踏み台)が正しく構成されていることを確認します。
SSHセッションの有効期限を構成する
LinuxでSSHセッションの有効期限を構成するには、TMOUT環境変数を定義します。TMOUTを設定すると、特定のアイドル時間の経過後にユーザーを自動的にサインアウトできます。定義済みTMOUT変数の例を次に示します。
TMOUT=300 readonly TMOUT export TMOUTこの定義では、ユーザーが値を変更できないようにreadonly(読み取り専用)が使用されています。