サーバー用にSSHD構成をカスタマイズする

Advanced Server Accessのシステム統合モデルを使用すると、Advanced Server Accessを用いたシステム構成の幅広いカスタマイズが可能になります。たとえば、Advanced Server Accessの管理者はSSHD構成を使用して、接続を開始するクライアントへのサーバーの応答方法をカスタマイズできます。

Advanced Server Access エージェント(sftd)がSSHD構成ファイル(/etc/ssh/sshd_config)に追加できるのは、コメントも含めて2~4行のみです。

以下は、Advanced Server Accessの管理者がSSHD構成ファイルをカスタマイズする方法の例です。

SSHDでAdvanced Server Access以外の認証を防止する

特定のグループのメンバーがAdvanced Server Access以外の資格情報で認証されないようにするには、Match(一致)グループを使用してAuthorized Key(認証済みキー)ファイルのルールを設定します。以下のコードは、「asa_dev」というUNIXグループのメンバーがAdvanced Server Access以外の資格情報で認証されるのを防止します。

Match Group asa_dev AuthorizedKeysFile none AuthenticationMethods publickey PubkeyAcceptedKeyTypes <insert-accepted-key-here>

Match(一致) グループは、Advanced Server Accessが管理するグループの名前をリストする必要があります。

Match(一致)ブロックの最初の行は、次のように表示されます:Match Group <ASA-managed-group-name>

対話型のBastion (踏み台)サインインを防止する

ユーザーがBastion (踏み台)で対話型サインインを実行するのを防ぐには、PermitTTY noという値を使ってこの制限を適用するMatch Groupを作成します。Match Group(一致グループ)ブロックを使用すると、特定のグループ内のすべてのユーザーに対して制限を設定できます。Advanced Server Accessの管理者である場合は、ご自身をこのグループに追加しないでください。この動作のためにyamlファイルを構成することなく、次の構成をSSHDに直接追加できます。

Match Group asa_dev PermitTTY no

Bastion (踏み台)のデプロイメントではTTYの無効化がベストプラクティスですが、すべての形式のリモート実行が阻止されることを保証するものではありません。不要なアクセスを防ぐためにBastion (踏み台)が正しく構成されていることを確認します。

SSHセッションの有効期限を構成する

LinuxでSSHセッションの有効期限を構成するには、TMOUT環境変数を定義します。TMOUTを設定すると、特定のアイドル時間の経過後にユーザーを自動的にサインアウトできます。定義済みTMOUT変数の例を次に示します。

TMOUT=300 readonly TMOUT export TMOUT

この定義では、ユーザーが値を変更できないようにreadonly(読み取り専用)が使用されています。

関連項目