前回のエントリーにて無事公開鍵認証以外のSSH接続をシャットアウトできたのが確認できたら、次はアクセス元IPを制限してみる。
通常固定IPじゃないとできないが、名前でも絞れるので自分のプロバイダが決まっている場合はそこの逆引きDNS名をワイルドカードで指定すればよい。
TCPwapperによる判定は接続確率時に行われるので、既に確立した接続には影響がない。前と同様つながっているものは保険として残しておき、設定後に新しい接続が有効であることを確認してからログアウトしよう。
というわけでまずは/etc/hosts.denyにてSSHDの全部の接続を拒否する。
sshd: ALL
次に許可したいIPを/etc/hosts.allowにて列挙する
sshd: 192.168.11.99 192.168.1.20 .sakura.ne.jp
最後の.sakura.ne.jpという書き方がポイントで、逆引き名がhoge.sakura.ne.jpやfuga.sakura.ne.jpであれば許可するという記述になる。たいていのプロバイダは末尾が同じなのでワイルドカードで指定するのがよいだろう。もちろん自宅環境でも固定IPというのであればこれらは不要となる。