ssh server deny-users
- モード
- グローバルコンフィグモード
- カテゴリー
- 運用・管理 / Secure Shell
構文
(config)# ssh server deny-users USERNAME-PATTERN [HOSTNAME-PATTERN]
(config)# no ssh server deny-users USERNAME-PATTERN [HOSTNAME-PATTERN]
コマンド説明
指定したユーザーがSSHサーバーにログインすることを禁止する。ユーザー名に加え、ログイン元のホスト名/IPアドレスに基づきアクセスを制限することもできる。
no形式で実行した場合は、指定したユーザー、ホストへのアクセス禁止を取り消す。
初期設定では、どのユーザーにもSSHサーバーへのログインは禁止されていない(ただし、許可されてもいない。ssh server allow-usersコマンドを参照)。
SSHサーバーへのログイン制御は、許可ユーザーリスト(ssh server allow-usersコマンド)と禁止ユーザーリスト(本コマンド)の2つで行われる。ログイン要求を受け取ったSSHサーバーは、最初に禁止リストをチェックし、該当ユーザーが禁止リストに入っていなかったときだけ許可リストを参照する。禁止リストに入っていたユーザーは、たとえ許可リストに入っていたとしてもログインできない。また、許可リストが空の場合は、禁止リストの内容にかかわらず、どのユーザーもログインできない。
パラメーター
USERNAME-PATTERN- ユーザー名のパターン。大文字小文字を区別する。ワイルドカードとしてアスタリスク(任意の文字列を示す)を指定できる
HOSTNAME-PATTERN- ホスト名/IPアドレスのパターン。大文字小文字を区別しない。ワイルドカードとしてアスタリスク(任意の文字列を示す)を指定できる
使用例
ユーザー「toor」のみSSHログインを禁止し、その他のユーザーにはSSHログインを許可する。ログイン元のホストは制限しない。awplus(config)# ssh server allow-users * awplus(config)# ssh server deny-users toor
注意・補足事項
HOSTNAME-PATTERNをIPアドレスではなくホスト名で指定するためには、本コマンドだけでなく以下の設定も必要なので注意。- 使用するDNSサーバーの設定(ip name-serverコマンド。初期状態では未設定)
- DNSへの問い合わせ機能の有効化(ip domain-lookupコマンド。初期状態で有効)
- ログイン元ホスト名の逆引き有効化(ssh server resolve-hostsコマンド。初期状態では無効)
HOSTNAME-PATTERNにワイルドカードを指定したり、ホスト名を指定したりした場合に、「% Warning: ssh server resolve-hosts is not enabled.」(ログイン元ホスト名の逆引きが無効)という警告メッセージが表示されることがある。HOSTNAME-PATTERNとして1つでもホスト名を指定している場合は、警告にしたがってssh server resolve-hostsコマンドを実行し、逆引きを有効化すること(逆引きが無効の場合、ホスト名を含むエントリーには一切マッチしない)。なお、IPアドレスの範囲指定のみでホスト名を指定していない場合は警告を無視してよい。
USERNAME-PATTERN に
@ を含むユーザー名を指定するときは、@ の代わりにワイルドカード * を指定すること。たとえば、userA@domain1 というユーザーを指定するときは、userA*domain1 と指定する必要がある。