
お世話になります。
Fedora10でSFTPサーバを構築しようとしているのですが、そのサーバ
ホストに「SFTPでファイルのアップ/ダウンロードはできるけれども、
SSHログインはできない」という設定をする事は可能でしょうか?
(SFTPはSSH付属のsftp-serverを想定しています)
SFTPとSSHで別のポート番号を使用することで実現できないかと
考えたのですが、調べた限りではsftp-serverにsshdと別のポートを
使用させる事ができないように見えています。
SSHもSFTPも同じポート22を使用しているとなると、iptablesで
区別する事もできないように思っています。
ポートを分ける方法、それ以外でも実現できる方法をご存知の方、
ご教示ください。よろしくお願いします。
No.2ベストアンサー
- 回答日時:
「sftponly」「scponly」などで検索してみて下さい。
ご回答ありがとうございます。
scponlyというものをインストールし、ユーザのログインシェルとして設定することで実現する方法があるのですね。ありがとうございます。
ただ、まったくログインできないと、ユーザがパスワードを変更できない等、検討すべきケースがある事が分かりました。
元の質問からずれますが、基本ログイン不可だけども、特定のNWセグメントからのみSSHログインできるのがベストなのかなと考えています。もっと調べなくては…。
No.1
- 回答日時:
>「SFTPでファイルのアップ/ダウンロードはできるけれども、SSHログインはできない」という設定をする事は
http://www.google.co.jp/search?hl=ja&source=hp&q …
公開鍵認証を使用している場合だと、公開鍵ごとにコマンドを制限できたハズです。
~/.ssh/authorized_keys
の公開鍵の前にcommand="~"の追加で対処できるかと。
# ssh+svnの為に、command="svnserve -t -r /var/svn/repo",no-pty,no-port-forwarding ssh-rsa AAAAB3~~
# としているエントリがあります。
http://www.google.co.jp/search?num=30&hl=ja&q=ss …
>ポートを分ける方法
sshd_configにportの設定を複数行記述することで、複数のポートで待ち受けは可能ですが…
それぞれのポートで使用できるコマンドの制限まではできないかと思われます。
# Matchで指定可能なのはUser/Group/Host/Addressみたいですし。
ご回答ありがとうございます。
公開鍵で制限する方法は知らなかったので勉強になりましたが、この場合だとユーザ本人によってSSHログイン可能に書き換えられてしまうように思います…。
また、後半の「ポートごとに使用コマンド制限」というのは、こちらで調べた結果と同じ内容のコメントをいただけたので参考になりました。
「SSHは内部セグメントからのみ許可、SFTPはどこからでも許可」と設定できれば一番良いのですが、難しそうです。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
hostsファイルで8080ポート指定
-
VLANインターフェースがDownす...
-
管理ポートとは?
-
USB タコ足をするとスピードは...
-
成端と整端どっち?
-
スイッチングハブのスピード混...
-
どのHUBのポートに刺さっている...
-
ポートの開放について教えてく...
-
電話コード4芯、6芯とは
-
1台のPCで2つのイーサネット接続
-
awm 2896 80c vw1 という、フラ...
-
通信すると速度が0kbpsになって...
-
LANケーブルの色順を、まったく...
-
FAXの送受信設定(OSはウインド...
-
NURO光のF660Aでポート開放がう...
-
ケーブルの芯の数について
-
モデムの電気代について教えて...
-
LANのハブをつなぐと末端ほど遅...
-
ミラーハブって何ですか?
-
ポート開放すると速度が遅くなる?
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
hostsファイルで8080ポート指定
-
VLANインターフェースがDownす...
-
PPPoE対応のスイッチングHUBは...
-
NAPTでのポート番号変換について
-
FTPサーバのポートを変更したら...
-
Ciscoルータのコンソールポート...
-
FTPの為のルーター設定について
-
Cisco Catalyst3750(WS-C3750G-...
-
会社内からWinnyの使用を防ぐ方...
-
管理ポートとは?
-
IPアドレスの質問
-
cisco Catalyst2950の操作について
-
1つのポートに複数のVLAN...
-
VLANについて
-
messengerサービスの「開始」に...
-
http、httpsをブラウザで見る場...
-
WWWの公開方法
-
TCP 445, 5554, 9996を塞ぐとは
-
MRTGのlog
-
【VLANとセキュリティについて...
おすすめ情報