管理者用SSH接続のアクセス制限

あるWEBサービスを運営する必要があるのですが、迅速に対応できるように、いつでもどこからでも自分の端末さえあればSSH接続できるようにさせたいと思っています。

一応、SSH接続にもアクセス制限をかけておいたほうがいいかなと思うのですが、使用する端末のIPアドレスは固定ではないので、DDNSでドメイン名を取得し、そのホスト名に対してのみアクセスできるようにファイアウォールの設定をしたいと思っています。こういうやり方は一般的でしょうか？それともそこまでしなくても通常の公開鍵による認証だけでもセキュリティ的には十分でしょうか？

No.1 ベストアンサー 回答者： Wr5 回答日時： 2014/05/27 22:57

>DDNSでドメイン名を取得し、そのホスト名に対してのみ

出先とかからの場合IPアドレス変わりますけど、その際にDDNSに登録し直すんですか？
登録し直したとして、サーバ側のDNSキャッシュに残っていたりすると最新のIPアドレスが引けないかも知れませんがその辺りはどうするつもりでしょう？
サーバ側で定期的にDDNSに問い合わせして、変更があったらファイヤウォールで許可するIPアドレスを設定し直すのでしょうか？
# ホスト名を…と書かれていますが、接続してきたIPアドレスからの逆引きでDDNSに登録したホスト名は引けませんよ？


ってことで…私だったら……
・sshの待ち受けポートは非標準のポート番号にする。
・認証は公開鍵認証のみ。
・接続を許可するユーザ名を限定。
　opensshならsshd_configでAllowUsers
ってところですかね。