OpenWrtルータがあり、認証にのみキーを使用できるように、SSHを介したパスワード認証を無効にしたいと思います。これは次の方法で簡単に達成できます。観光ガイドただし、ドキュメントではWANインターフェイスでのみパスワード認証を無効にしたいと思います。これは可能ですか?
答え1
この答えはOpenSSHについてです。 OpenWRTにはデフォルトでDropbearが含まれているため、次のように交換する必要があります。このリンク(デフォルトではインストールopenssh-server
と無効dropbear
)。
OpenSSHを使用すると、2つの可能なメカニズムを使用して目的を達成できます。
sshd
LAN および WAN インターフェイスを別々に設定します。これは、固定WAN IPがある場合にのみ機能します(sshd
特定のインターフェイスを受信するように指示することはできず、特定のIPのみを受信するように指示することができます)。- LAN上のクライアントに対してのみパスワード認証を許可します。
オプション1:
LAN設定ファイル(たとえば/etc/ssh/sshd_config
、デフォルトファイル)には、次のものが含まれます。
PasswordAuthentication yes
Listen 192.168.1.1:22
WAN構成ファイル(例/etc/ssh/sshd_config_wan
:
PasswordAuthentication no
Listen 10.1.1.1:22
上で、192.168.1.1はLANインターフェイスIP、10.1.1.1はWAN IPアドレス、どちらの場合も22は受信するポートです。-f
オプションを使用してロードする構成ファイルを指定できますsshd
。デフォルトのinitスクリプトを新しいスクリプトにコピーし、それを使用するように変更する必要sshd
があります-f /etc/ssh/sshd_config_wan
。
オプション2:
に/etc/ssh/sshd_config
、入れる終わりファイル:
PasswordAuthentication no
Match address 192.168.1.0/24
PasswordAuthentication yes
ここでは、LANアドレス(ここでは192.168.1.0/24と仮定)を除くパスワード認証を無効にします。
答え2
異なるインターフェイスを受信する異なる構成で 2 つの SSH サーバーインスタンスを実行できます。