サーバー用にSSHD構成をカスタマイズする

アドバンストサーバーアクセスのシステム統合モデルを使用すると、アドバンストサーバーアクセスを用いたシステム構成の幅広いカスタマイズが可能になります。例えば、アドバンストサーバーアクセスの管理者はSSHD構成を使用して、接続を開始するクライアントへのサーバーの応答方法をカスタマイズできます。

アドバンストサーバーアクセス の エージェント(sftd)は、コメントを含めて、SSHD構成ファイル(/etc/ssh/sshd_config)に2~4行しか追加できません。

以下は、アドバンストサーバーアクセスの管理者がSSHD構成ファイルをカスタマイズする方法の例です。

SSHDでアドバンストサーバーアクセス以外の認証を防止する

特定のグループのメンバーがアドバンストサーバーアクセス以外の資格情報で認証されないようにするには、Matchグループを使用してAuthorized Key(認証済みキー)ファイルのルールを設定します。以下のコードは、「asa_dev」というUNIXグループのメンバーがアドバンストサーバーアクセス以外の資格情報で認証されるのを防止します。

Match Group asa_dev AuthorizedKeysFile none AuthenticationMethods publickey PubkeyAcceptedKeyTypes <insert-accepted-key-here>

Match (一致)グループは、アドバンストサーバーアクセスが管理するグループの名前をリストする必要があります。

Match(一致)ブロックの最初の行は、次のように表示されます:Match Group <ASA-managed-group-name>

対話型の要塞サインインを防止する

ユーザーが要塞で対話型サインインを実行するのを防ぐには、PermitTTY noという値を使ってこの制限を適用するMatch Groupを作成します。Match Groupブロックを使用すると、特定のグループ内のすべてのユーザーに対して制限を設定できます。アドバンストサーバーアクセスの管理者である場合は、ご自身をこのグループに追加しないでください。この動作のためにyamlファイルを構成することなく、次の構成をSSHDに直接追加できます。

Match Group asa_dev PermitTTY no

要塞のデプロイメントではTTYの無効化がベストプラクティスですが、すべての形式のリモート実行が阻止されることを保証するものではありません。不要なアクセスを防ぐために要塞が正しく構成されていることを確認します。

SSHセッションの有効期限を構成する

LinuxでSSHセッションの有効期限を構成するには、TMOUT環境変数を定義します。TMOUTを設定すると、特定のアイドル時間の経過後にユーザーを自動的にサインアウトできます。定義済みTMOUT変数の例を次に示します。

TMOUT=300 readonly TMOUT export TMOUT

この定義では、ユーザーが値を変更できないようにreadonly(読み取り専用)が使用されています。

関連項目