hosts.allow, hosts.deny ファイルの作成
【hosts.allow】はLAN内や外部からの接続許可を行うファイル。(/etc/hosts.allow)
【hosts.deny】はLAN内や外部からの接続不許可を行うファイル。(/etc/hosts.deny)
【hosts.deny】はLAN内や外部からの接続不許可を行うファイル。(/etc/hosts.deny)
各、ファイル内に記述する事によってアクセスさせるIPを限定したり
起動させるサーバプログラムを限定する事ができます。
起動させるサーバプログラムを限定する事ができます。
まず、接続許可(allow)ファイルの設定を記述し、接続許可を出すIPを指定します。
許可を出すIPは、外部が156.156.156.156。内部(LAN)は、いずれからも、IPが付与されている場合は許可を出すようにします。
なので、今回は192.168.1.1~254の中であればLANIPは全てOKにします。
まず、su - で管理者ログインをし
許可を出すIPは、外部が156.156.156.156。内部(LAN)は、いずれからも、IPが付与されている場合は許可を出すようにします。
なので、今回は192.168.1.1~254の中であればLANIPは全てOKにします。
まず、su - で管理者ログインをし
# vi /etc/hosts.allow
でファイルを開きます。
# sshd : 156.156.156.156
で外部IP許可を指定。
# sshd : 192.168.1.
でLANIP全てOKにします。1のあとに【.】があるのは1~254という事です。
接続したIPが逐一知りたい場合はメールを送ってもらうようにします。
# spawn ( /bin/mail -s "sshd from %h" メールアドレス) &
と記述する事で、記述したメールアドレスに接続IP情報を送付してくれるようになります。
設定を保存後、設定はすぐに反映されるので、リブートなどは必要ありません。
ここまでの設定だけでは、「許可を出したIPは接続される」設定をしただけなので
接続IPが限定された事にはなりません。
接続IPが限定された事にはなりません。
次に/etc/hosts.denyを設定し、接続不許可の設定をする事でIPを限定する事ができます。
su - の管理者モードから
# vi /etc/hosts.deny
でdenyを開きます。
あとは
# sshd : ALL
で設定を保存して完了です。
上記二つの設定を行う場合はコンソール接続で設定した方が、安全です。
接続IPを限定する設定なので。。。
また、今回はallowから先に設定しましたが、denyから先に設定し、IPを全て遮断した状態からやるのが
安全みたいです。
接続IPを限定する設定なので。。。
また、今回はallowから先に設定しましたが、denyから先に設定し、IPを全て遮断した状態からやるのが
安全みたいです。
