ssh ポートフォワーディングを禁止する

このドキュメントの内容は、以下の通りです。

• はじめに
• リモートアクセスについて
• sshでのポートフォワーディングについて
• ポートフォワーディングの禁止について
• サーバのポートフォワーディングの設定方法
• ユーザごとのポートフォワーディングの設定方法

はじめに

インターネットを通じて、リモートのサーバ・パソコンにログインして操作することができます。リモートアクセスは、CUI(キャラクターユーザインタフェース)やGUI(グラフィカルユーザインタフェース)のどちらでも可能です。

ssh には、ポートフォワーディングと呼ばれる機能があります。ポートフォワーディングには、ローカルポートフォワーディングやリモートポートフォワーディングがあります。

ここでは、SSHのポートフォワーディングの概要とポートフォワーディングの禁止する方法について紹介します。

リモートアクセスについて

FreeBSDやLinuxなどのUnixの世界では、CUIでリモートアクセスをするのが一般的だと思いますが、ローカルのXサーバに画面を飛ばすこともできます。

リモートアクセスには、大昔は telnet と呼ばれるプロトコル・コマンドが利用されていました。その後、セキュリティ対策のため、Secure Shell (セキュアシェル) が開発され、現在では、SSH と呼ばれるプログラムが広く利用されています。

インターネットの通信は、TCP/IPと呼ばれるプロトコルが利用されています。IPには、IPアドレスがあり、TCPには、ポート番号があります。オペレーティングシステムは、送信元のIPアドレス＋ポート番号と送信先のIPアドレス＋ポート番号のペアを管理して、通信しています。

sshでのポートフォワーディングについて

コンピュータネットワークの構成によって、直接通信ができる相手とできない相手があります。たとえば、A から B には到達ができるが、A から直接 C にはいけない、以下のようにコンピュータがあったとします。

A - B - C

C でウェブサーバで動いているとき、A でブラウザを起動して、AのブラウザからCのウェブサーバにアクセスしようとしても、アクセスできません。

このときに、A から B に SSH でアクセスができるときに、SSHのポートフォワーディングを利用することで、 A のブラウザから C のウェブサーバにアクセスできるようになります。

A(192.168.0.10) - B(192.168.0.100) - C(192.168.0.200, web:80)

Cでは、80番ポートでウェブサーバが動作しています。

ssh でポートフォワーディングを利用して、ローカルの8080番ポートにアクセスして(127.0.0.1:8080)、192.168.0.200:80 と通信をする場合には、以下のコマンドを利用します。

ssh -N -L 8080:192.168.0.200:80 192.168.0.100

-N オプションは、ログイン時にポート転送のみを行うことを意味します。

このように、直接アクセスできないコンピューターに、SSHコマンドでトンネリングして、アクセスすることが可能です。

ポートフォワーディングの禁止について

ポートフォワーディングは、 sshd で許可や禁止ができます。

サーバのポートフォワーディングの設定方法

sshd (sshのサーバ) の全体の設定を変更するには、 /etc/ssh/sshd_config に設定します。

ポートフォワーディングを禁止する場合には、 AllowTCPForwarding を no に設定します。設定の例を以下に示します。

AllowTCPForwarding no

sshd でポートフォワーディングを不許可にしたとしても、ユーザが自前のプログラムでポートフォワーディングを実現するかもしれません。

ユーザごとのポートフォワーディングの設定方法

ユーザ自身がポートフォワーディングの設定を禁止することもできます。設定は、 authorized_keys で行います。公開鍵の前に、 no-port-forwarding を指定します。

no-port-forwarding ssh-rsa HOGEHOGE....

---