サーバー用にSSHD構成をカスタマイズする
Okta Privileged Accessは、システム構成をさまざまにカスタマイズできるシステム統合モデルを提供します。Okta Privileged Access管理者が利用できるカスタマイズオプションの1つは、接続を開始するクライアントに対するサーバーの応答方法を、SSHD構成を使って変更する権限です。
Okta Privileged Accessエージェント(sftd)がSSHD構成ファイル(/etc/ssh/sshd_config)に追加できるのは、コメントも含めて2~4行のみです。
以下は、Okta Privileged Accessの管理者がSSHD構成ファイルをカスタマイズする方法の例です。
対話型のBastion (踏み台)サインインを防止する
要塞での対話型サインインがユーザーによって確実に許可されないように、PermitTTY noという値が含まれるMatch Groupブロックを作成してこの制限に適用します。この方法により、指定したグループ内の全ユーザーの制限を設定できます。
Okta Privileged Accessの管理者は、このグループに自分自身を追加しないでください。この動作のためにyamlファイルを構成することなく、次の構成をSSHDに直接追加できます。
Match Group asa_dev
PermitTTY no踏み台(Bastion)のデプロイメントではTTYの無効化がベストプラクティスですが、すべての形式のリモート実行が阻止されることを保証するものではありません。不要なアクセスを防ぐためにBastion(踏み台)が正しく構成されていることを確認します。
SSHセッションの有効期限を構成する
LinuxでSSHセッションの有効期限を構成するには、TMOUT環境変数を定義します。TMOUTを設定すると、特定のアイドル時間の経過後にユーザーを自動的にサインアウトできます。次に、定義済みTMOUT変数の例を示します。
TMOUT=300
readonly TMOUT
export TMOUTこの定義では、ユーザーが値を変更できないようにreadonlyが使用されています。
関連項目