着信SSH接続要求を1つのインターフェイスのみに制限するにはどうすればよいですか? Ubuntu Server 10.04 LSTを使用しています。
サーバーをホームネットワークへのゲートウェイとして使用しているので、SSHへのアクセスを1つのインターフェイスのみに制限したいと思います。 1つのインターフェイスはDSLモデム/ルーターに接続され、もう1つのインターフェイスはホームネットワークに接続されます。ホームネットワーク内のSSHフォームへのアクセスのみを許可します。
この場合、SSHを1つのIPに制限するだけで十分ですか?または、それを1つのインターフェースにロックする必要がありますか?
次のファイルで:
/etc/ssh/sshd_config
次のような行が表示されます。
#ListenAddress 0.0.0.0
これはコメント化されていますが、デフォルトであり、ssh要求のすべてのIPアドレスをリストします。これを変更して、接続を受け入れたいインターフェースのIPアドレスにし、そのIPアドレスのみがssh接続を受け入れるようにすることができます。
ListenAddress 111.222.111.222
変更後、sshdサービスを再起動します。
ファイアウォールをインストールして、1つのインターフェースでのみSSHを許可してください。私の好みは、Ubuntuにインストール可能なパッケージであるShorewallです。開始する前に構成する必要がありますが、十分に文書化されており、いくつかの構成例が付属しています。
私は、必要なポートのみを開いて、ほとんど閉じたファイアウォールを使用しています。 SSHが許可されているインターフェースを制限するだけの場合は、他のインターフェースのsshに対してREJECTまたはDROPアクションを使用できます。ファイアウォールを構築している場合は、少なくともインターネットに面したインターフェースへのアクセスを制限することをお勧めします。