サーバー用にSSHD構成をカスタマイズする

アドバンストサーバーアクセスのシステム統合モデルを使用すると、アドバンストサーバーアクセスを用いたシステム構成の幅広いカスタマイズが可能になります。例えば、アドバンストサーバーアクセスの管理者はSSHD構成を使用して、接続を開始するクライアントへのサーバーの応答方法をカスタマイズすることができます。

注意: アドバンストサーバーアクセスの エージェント(sftd) は、コメントを含めて、SSHD 構成ファイル(/etc/ssh/sshd_config)に2行から4行しか追加できません。

以下は、アドバンストサーバーアクセスの管理者がSSHD構成ファイルをカスタマイズする方法の例です。

SSHDでアドバンストサーバーアクセス認証以外の認証を禁止する

特定のグループのメンバーがアドバンストサーバーアクセス以外の資格情報で認証されないようにするには、Matchグループを使用してAuthorized Key(認証済みキー)ファイルのルールを設定します。以下のコードは、UNIXグループの「asa_dev」のメンバーが非アドバンストサーバーアクセスの資格情報で認証されるのを防ぎます。

Match Group asa_dev

AuthorizedKeysFile none

AuthenticationMethods publickey

PubkeyAcceptedKeyTypes <insert-accepted-key-here>

Match (一致)グループは、アドバンストサーバーアクセスが管理するグループの名前をリストする必要があります。

Match(一致)ブロックの最初の行は、次のように表示されます。 Match Group <ASA-managed-group-name>

要塞でのインタラクションログインを防止する

ユーザーが要塞でインタラクションログインを実行するのを防ぐには、PermitTTY noの値を使用してこの制限を適用するMatch Groupを作成します。Match Groupブロックを使用すると、特定のグループ内のすべてのユーザーに対して制限を設定することができます。アドバンストサーバーアクセスの管理者である場合は、ご自身をこのグループに追加しないでください。この動作のためにyamlファイルを構成することなく、次の構成をSSHD に直接追加することができます。

Match Group asa_dev

PermitTTY no

メモ

TTYを無効化するのが要塞の展開でのベストプラクティスですが、すべての形式のリモート実行が阻止されることを保証するものではありません。不要なアクセスを防ぐために要塞が正しく構成されていることを確認します。

SSHセッションの有効期限を構成する

LinuxでSSHセッションの有効期限を構成するには、TMOUT環境変数を定義します。TMOUTを設定すると、特定のアイドル時間の経過後にユーザーを自動的にログアウトできます。定義済みTMOUT変数の例を次に示します。

TMOUT=300
readonly TMOUT
export TMOUT

注意: この定義では、ユーザーが値を変更できないように読み取り専用を使用しています。

関連項目

アドバンストサーバーアクセスの サーバーを展開するを展開する

アドバンストサーバーアクセスのアドバンストサーバーアクセスのサーバーエージェントを設定して使用するを構成して使用する