SSHとSFTPで別々のアクセスポリシー

お世話になります。

Fedora10でSFTPサーバを構築しようとしているのですが、そのサーバ
ホストに「SFTPでファイルのアップ/ダウンロードはできるけれども、
SSHログインはできない」という設定をする事は可能でしょうか？
(SFTPはSSH付属のsftp-serverを想定しています)

SFTPとSSHで別のポート番号を使用することで実現できないかと
考えたのですが、調べた限りではsftp-serverにsshdと別のポートを
使用させる事ができないように見えています。
SSHもSFTPも同じポート22を使用しているとなると、iptablesで
区別する事もできないように思っています。

ポートを分ける方法、それ以外でも実現できる方法をご存知の方、
ご教示ください。よろしくお願いします。

No.2 ベストアンサー 回答者： lowrider_2005 回答日時： 2010/02/23 10:24

「sftponly」「scponly」などで検索してみて下さい。

この回答へのお礼

ご回答ありがとうございます。

scponlyというものをインストールし、ユーザのログインシェルとして設定することで実現する方法があるのですね。ありがとうございます。

ただ、まったくログインできないと、ユーザがパスワードを変更できない等、検討すべきケースがある事が分かりました。
元の質問からずれますが、基本ログイン不可だけども、特定のNWセグメントからのみSSHログインできるのがベストなのかなと考えています。もっと調べなくては…。

お礼日時：2010/02/24 07:59

No.1 回答者： Wr5 回答日時： 2010/02/22 23:01

>「SFTPでファイルのアップ/ダウンロードはできるけれども、SSHログインはできない」という設定をする事は

http://www.google.co.jp/search?hl=ja&source=hp&q …

公開鍵認証を使用している場合だと、公開鍵ごとにコマンドを制限できたハズです。
~/.ssh/authorized_keys
の公開鍵の前にcommand="～"の追加で対処できるかと。
# ssh+svnの為に、command="svnserve -t -r /var/svn/repo",no-pty,no-port-forwarding ssh-rsa AAAAB3～～
# としているエントリがあります。
http://www.google.co.jp/search?num=30&hl=ja&q=ss …

>ポートを分ける方法

sshd_configにportの設定を複数行記述することで、複数のポートで待ち受けは可能ですが…
それぞれのポートで使用できるコマンドの制限まではできないかと思われます。
# Matchで指定可能なのはUser/Group/Host/Addressみたいですし。

この回答へのお礼

ご回答ありがとうございます。

公開鍵で制限する方法は知らなかったので勉強になりましたが、この場合だとユーザ本人によってSSHログイン可能に書き換えられてしまうように思います…。

また、後半の「ポートごとに使用コマンド制限」というのは、こちらで調べた結果と同じ内容のコメントをいただけたので参考になりました。
「SSHは内部セグメントからのみ許可、SFTPはどこからでも許可」と設定できれば一番良いのですが、難しそうです。

お礼日時：2010/02/24 07:48