サーバー用にSSHD構成をカスタマイズする
Okta Privileged Accessは、システム構成をさまざまにカスタマイズできるシステム統合モデルを提供します。Okta Privileged Access管理者が利用できるカスタマイズオプションの1つは、接続を開始するクライアントに対するサーバーの応答方法を、SSHD構成を使って変更する権限です。
Okta Privileged Access エージェント(sftd)がSSHD構成ファイル(/etc/ssh/sshd_config)に追加できるのは、コメントも含めて2~4行のみです。
次に、Okta Privileged Access管理者がSSHD構成ファイルをカスタマイズするいくつかの例を示します。
対話型の要塞サインインを防止する
要塞での対話型サインインがユーザーによって確実に許可されないように、PermitTTY noという値が含まれるMatch Groupブロックを作成してこの制限に適用します。この方法により、指定したグループ内の全ユーザーの制限を設定できます。
Okta Privileged Accessの管理者は、このグループに自分自身を追加しないでください。この動作用にyamlファイルを構成せずに、次の構成をSSHDに直接追加できます。
Match Group asa_dev PermitTTY noBastion (踏み台)のデプロイメントではTTYの無効化がベストプラクティスですが、すべての形式のリモート実行が阻止されることを保証するものではありません。不要なアクセスを防ぐためにBastion (踏み台)が正しく構成されていることを確認します。
SSHセッションの有効期限を構成する
LinuxでSSHセッションの有効期限を構成するには、TMOUT環境変数を定義します。TMOUTを設定すると、特定のアイドル時間の経過後にユーザーを自動的にサインアウトできます。次に、定義済みTMOUT変数の例を示します。
TMOUT=300 readonly TMOUT export TMOUTこの定義では、ユーザーが値を変更できないようにreadonly(読み取り専用)が使用されています。