重要なお知らせ

「教えて! goo」は2025年9月17日(水)をもちまして、サービスを終了いたします。詳細はこちら>

電子書籍の厳選無料作品が豊富!

sshd_configのAllowUsers

解決済

  • 質問者:symmetry5
  • 質問日時:
  • 回答数:4

sshd_configの設定について質問です。
まだあまり詳しくないので言葉の使い方が間違っているかもしれませんがよろしくお願いします。

今、sshd_configのAllowUsersを編集して、あるアカウント(ここではgooとしましょう)をあるローカルネットワーク(ここでは192.168.0.0~254としましょう)からしかログインできないようにしようとしています。
これまで、 
AllowUsers goo
のようになっていたのを
goo@192.168.0.0/24
のように書き換えました。
しかし、これではgooでログインできなくなりました。
許可するユーザー数が多すぎるとダメだという話を聞いたので、goo@192.168.0.0/28なども試したのですが、ダメでした。

どうすればいいのでしょうか?

通報する

この質問への回答は締め切られました。

質問の本文を隠す

A 回答 (4件)

No.1ベストアンサー

  • 回答者: EF_510
  • 回答日時:

えっと…AllowUsersの使い方が間違っています。


例に従うと、

goo@192.168.0.0/24 は ホスト名が「192.168.0.0/24」のgooユーザーに対してであって「IPアドレスの制限」ではありません。
当然ホスト名が異なると思いますのでログインできなくなります。

アクセス元ホストの名前があると思いますのでそれを指定してください。
goo@*example.co.jpなどです。

/etc/hosts_allowファイルも参照してください。

この回答への補足

回答ありがとうございます。
192.168.0.0/24という表記で192.168.0.0~192.168.0.254のホストを表しますよね?←これが間違い??

example.co.jpなどのアクセス元ホストの名前が分かりません。どこで確認できますでしょうか?
ローカルネットワーク内のマシンの名前は/etc/hostsで決められていますが、それのことでしょうか?

適応させたいマシンは数10台程度なので、別々に
AllowUsers goo@192.168.0.0 goo@192.168.0.1 goo@192.168.0.2 goo@192.168.0.3 ・・・と書けばやりたいことは達成できますが、短縮した表記があれば今後便利だと思いました。

補足日時:2012/03/30 10:28
通報する
    • good
    • 0
通報する

No.4

  • 回答者: EF_510
  • 回答日時:

>192.168.0.0/24という表記で192.168.0.0~192.168.0.254のホストを表しますよね?←これが間違い??



間違いです。あくまでそれはアドレス表記であってホスト名じゃありません。

allowuserもいいですが、Matchも考慮に入れてみてはどうでしょうか?
Match Address 192.168.0.0/24
PermitRootLogin no
PasswordAuthentication yes
(ルールは適当です)
    • good
    • 0
通報する
この回答へのお礼

Match Addressというのを初めて聞きました。
分からないところをいじって困ったことになると面倒なので、
潔く列挙することにしました。

お付き合いいただきありがとうございました。

通報する
お礼日時:2012/03/30 18:42

No.3

  • 回答者: Wr5
  • 回答日時:

>バージョンはOpenSSH_4.3p2でした。



軽くソースコードを読んでみましたが……
残念ながら4.3p2ではCIDR表記には対応していない…ようです。
    • good
    • 0
通報する
この回答へのお礼

そうなんですか><潔く列挙する方法で我慢しようかな。。

わざわざ調べていただいてありがとうございました。

通報する
お礼日時:2012/03/30 12:59

No.2

  • 回答者: Wr5
  • 回答日時:

サーバのバージョンはいくつなんでしょう??



>許可するユーザー数が多すぎるとダメだという話を

openssh-5.9p1ではAllowUsersに指定できるのは256エントリ…のようです。
今回の指定の場合は、1エントリ扱いになりますから、ネットマスク部分は無関係かと。
# 5.9p1のソース、軽く読んだ限りではCIDR表記でも通る…っぽかったですが……。
# ただし、試したことは…ないです。(というかこういう書き方が可能だとも思っていなかったもので)

この回答への補足

回答ありがとうございます。

バージョンはOpenSSH_4.3p2でした。
No.1さんの回答の補足にも書いたのですが、goo@190.168.0.0/24という表記でgoo@190.168.0.0~goo@190.168.0.254という意味になりませんでしょうか?

やりたいのはそういった短縮した表記なのですが、この表記がだめだとして、他に方法をご存じないでしょうか?

補足日時:2012/03/30 10:33
通報する
    • good
    • 0
通報する

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

Q質問する(無料)

ページトップページトップ

Q質問する(無料)

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

おすすめ情報