【無料ツールで作るセキュアな環境（44）】〜OpenSSH ４〜（執筆：office）

　前回はsshdの起動方法について解説した。今回はsshdの設定について説明しよう。

　sshdの動作に関する設定はsshd_configで行う。このファイルの場所は usr/local/etc/sshd_config ないしは /etc/sshd_config である。また一般ユーザのプロセスとしてsshdを起動する場合は、各ユーザの ~/.ssh/ ディレクトリに sshd_config を作成しなければならない。OpenSSHインストール直後の /etc/sshd_config の記述内容のうち、今回の解説に関係ある部分を抜粋すると、
Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::
HostKey /etc/ssh_host_key
HostKey /etc/ssh_host_rsa_key
HostKey /etc/ssh_host_dsa_key
PermitRootLogin yes
X11Forwarding no
Subsystem sftp /usr/sbin/sftp-server

という具合になっている。

・Port
sshdの待ち受けport番号の指定。一般ユーザ権限でsshdを動かすときには、1024以上のport番号を指定しなければならない。sshd起動時に -p オプションでport番号を指定することも可能だ。

・Protocol
プロトコルとしてSSH1、SSH2のいずれを使うかの指定。コメントアウトしてあるデフォルト時には両プロトコルが使える。片方のプロトコルを使う場合にはコメントアウトの#を消し、引数として一方の数字だけを指定すればよい。

・ListenAddress
接続を許可するホストと、そのホストからの接続を受け付けるPort番号の指定。ListenAddressの記述行はPortの記述行より後に書くこと。複数のホストからの接続を受け付ける場合にはListenAddress行を複数書く。ListenAdressを指定した場合、localhost等も明示的に指定しないと接続は拒否される。

接続拒否、接続許可サイトの指定は、ListenAddressに記述する代わりに、/etc/host.denyファイルと/etc/host.allowファイルでそれぞれ接続拒否、接続許可サイトを設定する方法もある。/etc/hosts.denyには

sshd: ALL

と一度全てのホストからの接続を拒否として記述しておき、/etc/hosts.allowで

sshd: 192.168.0.0/255.255.255.0

のように接続許可するホストを後から明示的に設定するのがよい。

office
office@ukky.net
http://www.office.ac/

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/vv/m-sc.htm