前回、PAM認証を利用してrootにスイッチについて紹介しましたので、今回は、SSHログインをユーザ/グループ単位での設定方法を紹介します。
ユーザ/グループ単位の設定をするには、下記の3ファイルを利用します。
- /etc/pam.d/sshd
- /etc/ssh/sshd_config
- /etc/security/access.conf
はじめに、/etc/pam.d/sshdの設定です。
下記を最後に追加します。
account required pam_access.so
/etc/ssh/sshd_configは、下記の記述を確認します。
UsePAM yes
grep UsePAM sshd_config
最後に/etc/security/access.confです。
vi /etc/security/access.conf
#+ : root : 192.168.201.
↓
+ : root : 100.100.100.100#+ : john : 2001:4ca0:0:101::/64
↓
+ : wheel : 10.10.10.10#- : ALL : ALL
↓
– : ALL : ALL
上記設定により、下記となります。
- rootは、100.100.100.100からのみ接続可能
- whellグループに属したユーザは10.10.10.10からのみ接続可能
- 上記以外は拒否
実際にログで確認してみます。
まずは wheel グループに属しているユーザ確認です。
[root@cimacoppisecurity]#grep wheel /etc/group wheel::10:root,test1
test1でsshログインをすると下記のようなログで、ログイン成功がわかります。
Oct 9 16:38:50 cimacoppi sshd[17712]: Accepted password for test1 from *.*.*.* port 9093 ssh2 Oct 9 16:38:50 cimacoppi sshd[17712]: pam_unix(sshd:session): session opened for user test1 by (uid=0)
test2でsshログインすると下記のようなログで、ログイン失敗がわかります。
Oct 9 16:40:01 cimacoppi sshd[17743]: pam_access(sshd:account): access denied for user `test2' from `219.117.233.241.static.zoot.jp' Oct 9 16:40:01 cimacoppi sshd[17743]: Failed password for test2 from *.*.*.* port 47543 ssh2 Oct 9 16:40:01 cimacoppi sshd[17746]: fatal: Access denied for user test2 by PAM account configuration