特定のインターフェイスでSSHパスワード検証を無効にします。

特定のインターフェイスでSSHパスワード検証を無効にします。

OpenWrtルータがあり、認証にのみキーを使用できるように、SSHを介したパスワード認証を無効にしたいと思います。これは次の方法で簡単に達成できます。観光ガイドただし、ドキュメントではWANインターフェイスでのみパスワード認証を無効にしたいと思います。これは可能ですか?

答え1

この答えはOpenSSHについてです。 OpenWRTにはデフォルトでDropbearが含まれているため、次のように交換する必要があります。このリンク(デフォルトではインストールopenssh-serverと無効dropbear)。

OpenSSHを使用すると、2つの可能なメカニズムを使用して目的を達成できます。

  1. sshdLAN および WAN インターフェイスを別々に設定します。これは、固定WAN IPがある場合にのみ機能します(sshd特定のインターフェイスを受信するように指示することはできず、特定のIPのみを受信するように指示することができます)。
  2. LAN上のクライアントに対してのみパスワード認証を許可します。

オプション1:

LAN設定ファイル(たとえば/etc/ssh/sshd_config、デフォルトファイル)には、次のものが含まれます。

PasswordAuthentication yes
Listen 192.168.1.1:22

WAN構成ファイル(例/etc/ssh/sshd_config_wan

PasswordAuthentication no
Listen 10.1.1.1:22    

上で、192.168.1.1はLANインターフェイスIP、10.1.1.1はWAN IPアドレス、どちらの場合も22は受信するポートです。-fオプションを使用してロードする構成ファイルを指定できますsshd。デフォルトのinitスクリプトを新しいスクリプトにコピーし、それを使用するように変更する必要sshdがあります-f /etc/ssh/sshd_config_wan

オプション2:

/etc/ssh/sshd_config、入れる終わりファイル:

PasswordAuthentication no

Match address 192.168.1.0/24
    PasswordAuthentication yes

ここでは、LANアドレス(ここでは192.168.1.0/24と仮定)を除くパスワード認証を無効にします。

答え2

異なるインターフェイスを受信する異なる構成で 2 つの SSH サーバーインスタンスを実行できます。

関連情報