Hatena::ブログ(Diary)

てつじんにっき

2007-11-14

[][] authorized_keysのオプション

いろいろ出来るんですね。最近まで知りませんでした。

http://www.unixuser.org/~euske/doc/openssh/jman/sshd.html

fromオプションなんかは、TCP Wrapperでは制御できないような細かい設定をしたい…

といった場合があれば便利なのかも。ユーザ毎に接続元を細かく絞りたい時とか。

from="!foo.example.com,*.example.com" ssh-rsa AAAAB3NzaC1yc2EAAA.......

例えば上記のように書いておけば、

bar.example.comとかbaz.example.comとかのサブドメインは鍵の使用を許可するけど、foo.example.comは駄目だよ。といったことができます。

ちなみにfromではじかれるとこんなログが出ます。*1

Nov 13 23:26:33 localhost sshd[10518]: Authentication tried for foo with 
correct key but not from a permitted host (host=foo.example.com, ip=192.168.233.1).

*1:この例では/etc/hostsを弄ってアクセス元のホスト名(192.168.233.1)を制御してます。