2008-08-09 – 武蔵の日記でid:otuneさんに指摘されたので、もう少しsshについて調べてみた。

sshで接続したクライアントの利用を制限するのはサーバ側のauthorized_keys

ここら辺が参考になる:

• ssh scp sftp の正しい自動実行方法
• authorized_keysに書く no-pty と command="" の意味

ここを読むとauthorized_keysを編集する必要があることがわかる。特に重要なのは

• command
• no-pty

の二つの設定に思える（やや自信なし）。no-ptyはmanに

端末の割り当てを禁止します(仮想端末の割り当てが失敗するようになります)。

とある。要はsshでログインしても、端末にアクセスできなくなる。でも、これだとリダイレクトをしてコマンドを実行できてしまうことになる。参考にしたところではこれが例として取り上げられていた:

$ echo “cat .ssh/authorized_keys2” |ssh -i /home/hiroaki/.ssh/auto remotehost.example.com -l hiroaki

これでは制限していることにならないので、commandでクライアントが使えるコマンドを制限することができる。たとえば

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command=”ls -al” ssh-rsa [以下略]

とすると、クライアントは「ls -al」を実行して接続が終わることになる。

とりあえず私は

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command=”ls -al” ssh-rsa [以下略]

と設定しておいた。*1

後はcommandの設定のみ

rsyncは仕組み上、クライアント側で実行したrsyncがサーバ側のrsyncを実行する形式をとる。だからサーバ側でどのようにrsyncを実行しているかを調べてcommandを指定してあげればいい。

そのために「-v」スイッチをつけてクライアント側でrsyncを実行する。そうすると、サーバ側でどのようなスイッチをつけてrsyncが実行されているかわかる。私の場合はこんな感じだった:

rsync –server –sender -vlogDtprz . /Users/simoom634/Documents/howm

後はこれはauthorized_keysに反映させるだけ。

結局できあがったauthorized_keys

こんな感じになった:

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command=”rsync –server –sender -vlogDtprz . /Users/simoom634/Documents/howm” ssh-rsa [以下略]

参考にしたサイト

• Securing automated rsync over SSH – Tech@Sakana – A sysadmin’s blog

*1：no-port-forwarding, no-X11-forwarding, no-agent-forwardingの意味がいまいち理解できていない…