/etc/hosts.allowに
では駄目ですか?
完全にTCP Wrapperの支配から抜けたいなら、OpenSSHのソースを拾ってきて、TCPWrapperを無効にしてコンパイルしてやればいいんですかね。
追記(2017/02/11 03:20)
さて。
sshdは現在社内・または開発会社のみつながるようにallow内で設定しております。
そこはそのままでsftp(22)だけアクセス可能にしたいのです。
allowを使うやり方では難しいでしょうか
ということでしたので、回答に追記を。
まず、hosts.allow(TCP Wrappers)だけで要件を満たすのは厳しいと思います。
mooonphaseさんが提示された、sftpとsshを分ける方法を採用する場合、
0. ssh用ポート(22番)はFirewallで社内と開発会社のみに許可する。
0. sftp用ポート(22番以外)はFirewallで全許可する。
という感じなのかなと思います。
ただ、御社の情シスや偉い方が
「よくわからんポートを開放したくないから、現状のままでなんとかせよ」
と言う場合は、別の方法を検討するしかないです。
最初思いついた方法は、この回答のコメントに書いた
「sshとsftpのユーザーを分ける」+「ユーザー毎にアクセス制限をかける」
ものですが、よくよくManページを確認したらアドレスのみでもいけることがわかりました。
/etc/ssh/sshd_config
の最後に、以下のように追記し、sshdサービスを再起動します。
※再起動時に「Subsystem sftp~」とか出たら、既存の設定に「Subsystem sftp~」がないか確認し、コメントアウトして下さい。
(↑ここから上は既存の設定)
Subsystem sftp internal-sftp
Match Address *,!192.168.0.0/24
ForceCommand internal-sftp
上記の場合、「全てのアクセス元にsftpのみ許可、ただし192.168.0.0/24からは除く」という設定になります。
許可アドレスを追加する場合は「Match Address」の行に「,!許可するアドレス」を追加していきます。
ホスト名を指定する場合は「Match Host *,!~」となるかと思いますが、詳細はManページなどをご確認下さい。
SSHD_CONFIG(5)
なお、Subsystem sftpに指定する「internal-sftp」は別にデフォルトのsftp-serverでも構いませんが、「internal-sftp」だと
This Service allows sftp connections only.
と出てくれたりします。
何年もOpenSSH触ってるはずなのに、未だに使いこなせてなかったんだなーと反省。