ユーザ毎のSSH制限
ユーザ毎に認証方式を変える
/etc/ssh/sshd_config に Match で指定する。
Match は OpenSSH 4.4以降で使用出来る(らしい、4.3は無理だった)。
# vi /etc/ssh/sshd_configerio_nkユーザのみパスワード認証をOFFにする。
...
Match User erio_nk
PasswordAuthentication no
ユーザ毎にアクセス元IPを制限する
PAMを利用して制限する。
PAMのsshアクセス制限を有効にする。
# vi /etc/pam.d/sshd一番「上」の行に追加する事に注意。
account required pam_access.so
...
/etc/security/access.confを編集してアクセス制限を設定する。
# vi /etc/security/access.conferio_nkユーザは XXX.XXX.XXX.XXX からのみアクセス可能にする。
...
+ : ALL : cron crond
- : erio_nk : ALL EXCEPT XXX.XXX.XXX.XXX.
cronの行が無いとcronの動作に支障が出る様で、以下の様なログが出て正常に処理が実行されない模様(/usr/lib/sa/sa1辺りで出てるっぽい?)。
/var/log/cron
拒否されたパーミッション/var/log/secure
CRON (root) ERROR: failed to open PAM security session: 成功です
CRON (root) ERROR: cannot set security context
pam_access(crond:account): access denied for user `root' from `cron'