回答率: 85.30%

質問するログイン新規登録

トップ CentOSに関する質問 CentOSにて一部ポートのみ全開放する設定

編集履歴

回答編集履歴

2

修正しました。

2017/02/10 19:36

投稿

スコア829

answer CHANGED Viewed

@@ -31,6 +31,7 @@
 ものですが、よくよくManページを確認したらアドレスのみでもいけることがわかりました。
 `/etc/ssh/sshd_config`の最後に、以下のように追記し、sshdサービスを再起動します。
+※再起動時に「Subsystem sftp～」とか出たら、既存の設定に「Subsystem sftp～」がないか確認し、コメントアウトして下さい。
 ```
 （↑ここから上は既存の設定）

1

回答を追記しました。

2017/02/10 19:36

投稿

スコア829

answer CHANGED Viewed

@@ -4,4 +4,49 @@
 ```
 では駄目ですか？
-完全にTCP Wrapperの支配から抜けたいなら、OpenSSHのソースを拾ってきて、TCPWrapperを無効にしてコンパイルしてやればいいんですかね。
+完全にTCP Wrapperの支配から抜けたいなら、OpenSSHのソースを拾ってきて、TCPWrapperを無効にしてコンパイルしてやればいいんですかね。
+### 追記（2017/02/11 03:20）
+さて。
+> sshdは現在社内・または開発会社のみつながるようにallow内で設定しております。
+そこはそのままでsftp（22）だけアクセス可能にしたいのです。
+>
+> allowを使うやり方では難しいでしょうか
+ということでしたので、回答に追記を。
+まず、hosts.allow（TCP Wrappers）だけで要件を満たすのは厳しいと思います。
+mooonphaseさんが提示された、sftpとsshを分ける方法を採用する場合、
+0. ssh用ポート(22番)はFirewallで社内と開発会社のみに許可する。
+0. sftp用ポート(22番以外)はFirewallで全許可する。
+という感じなのかなと思います。
+ただ、御社の情シスや偉い方が
+**「よくわからんポートを開放したくないから、現状のままでなんとかせよ」**
+と言う場合は、別の方法を検討するしかないです。
+最初思いついた方法は、この回答のコメントに書いた
+**「sshとsftpのユーザーを分ける」＋「ユーザー毎にアクセス制限をかける」**
+ものですが、よくよくManページを確認したらアドレスのみでもいけることがわかりました。
+`/etc/ssh/sshd_config`の最後に、以下のように追記し、sshdサービスを再起動します。
+```
+（↑ここから上は既存の設定）
+Subsystem sftp internal-sftp
+Match Address *,!192.168.0.0/24
+  ForceCommand internal-sftp
+```
+上記の場合、「全てのアクセス元にsftpのみ許可、ただし192.168.0.0/24からは除く」という設定になります。
+許可アドレスを追加する場合は「Match Address」の行に「,!許可するアドレス」を追加していきます。
+ホスト名を指定する場合は「Match Host *,!～」となるかと思いますが、詳細はManページなどをご確認下さい。
+[SSHD_CONFIG(5)](https://euske.github.io/openssh-jman/sshd_config.html)
+なお、Subsystem sftpに指定する「internal-sftp」は別にデフォルトのsftp-serverでも構いませんが、「internal-sftp」だと
+`This Service allows sftp connections only.`
+と出てくれたりします。
+何年もOpenSSH触ってるはずなのに、未だに使いこなせてなかったんだなーと反省。