人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

あるSolarisサーバ(ServerA)で、以下のようなことができるアカウント(hoge)を作りたいと考えています。
どのように設定すればよいでしょうか。

○hogeでServerAへSSH接続 ⇒ 拒否
○別のSolarisサーバからsftpでhoge@ServerAに接続 ⇒ 許可

不可能な場合はその理由も教えていただけると幸いです。
(sftpはsshdと連動して起動するので、SSHを拒否してしまう時点でsftpは不可能でしょうか?)

以上、よろしくお願いいたします。


●質問者: q8765
●カテゴリ:コンピュータ インターネット
✍キーワード:hoge solaris SSH アカウント サーバ
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● znz
●20ポイント

scponlyなどのscp/sftp専用のシェルを使えば可能です。

接続元による制限などが必要な場合は、普通のsshの接続の制限と同じように、authorized_keysにfromなどを書けば可能です。

◎質問者からの返答

早速ありがとうございます。

回答を読んだだけではすぐに理解できなかったので、「scponly」をkeyにWEBを検索したところ以下のURLにたどり着きました。

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=24998&am...

ぜひ試してみたいのですが、対象がこのような機能の組込みがほぼ許されないシステムなので、残念ながら実現は難しそうです。

上記ページに「ホームディレクトリの .profile に小細工をして」も実現できる旨の記述がありました。

この程度の変更なら会社も許してくれそうなので、可能であれば.profile に小細工する方法も知りたいです。


2 ● eggplantbb
●20ポイント

rsshを使った安全なファイル転送という情報を公開されている方がいらっしゃるようです。

sftp や scp を使ってファイルを安全に転送したいけど、ssh接続でのシェルの利用は許可したくないし、特定の領域にしかアクセスさせたくないような場合に使う。

とありますので、ご希望の設定に近いのではないでしょうか?

◎質問者からの返答

ありがとうございます。

ほぼ希望通りなのですが、rsshの組込みが必要なんですね。1番の回答者にコメントした通り、新しいソフトの組込みはちょっと厳しい状況です。

手順に「/etc/passwd」を空にして・・・という旨の記述がありましたが、現在稼働中のシステムにこんなことするとたぶん殴られてしまいます。厳しいかな。


3 ● toohigh
●40ポイント

.profile に小細工をする方法についてですが、

echo exit > ~hoge/.profile

usermod -s /bin/sh hoge

・・・ということで、ssh ログインできるけど、ログイン後に即 exit するような

状態にする方法のことではないかと思います。

ただ、sftp 経由で .profile を消せるようだと意味がないので、~hoge および

~hoge/.profile を chown root:root しておくなり、ro で mount されている

場所に ~hoge 以下を置くなりしておく必要があるでしょう。

◎質問者からの返答

ありがとうございます。こちらの環境で試したところ、うまくいきました。

軽微な変更なので、これなら問題ないです!

シェルが/bin/sh以外の場合は、小細工するファイルが変わるので注意が必要ですね。


4 ● samejima
●20ポイント

/etc/passwdの第7フィールド(シェルを書く所)を/usr/lib/ssh/sftp-serverにする。

◎質問者からの返答

ありがとうございます。

/usr/lib/ssh/sftp-serverはsolaris10で有効なパスみたいですね。

こちらの環境は10ではないのでそれなりのパスに変えて試したのですが、

SSH接続してから切られるまでの挙動が3番の回答よりもスムーズでないので

今回は3番の回答を採用したいと思います。

環境によっては有効な方法かもしれませんね。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ