企業や組織がサーバーへのアクセスを未承認の者から妨げるために厳重な警告を表示したい場合、SSH バナー警告は必要です。
これらの警告はパスワードのプロンプトの直前に表示され、ログインしようとしている未承認のユーザーがその行動の結果を認識するようになります。通常、これらの警告は、サーバーへのアクセスを試みる未承認のユーザーが受ける可能性のある法的な結果を示しています。
[ 関連記事: OpenSSH サーバーのセキュリティ強化方法 ]
ただし、警告バナーは未承認のユーザーがログインするのを防ぐ手段ではありません。警告バナーは単に、未承認の者がログインすることを阻止するための警告です。未承認のユーザーをログインできなくする場合は、追加の SSH 構成が必要です。
ステップ 1: SSH 警告バナーの設定
まず、お好みのテキストエディタを使用して、/etc/ssh/sshd_config の SSH 構成ファイルにアクセスします。ここでは、vim テキストエディタ を使用しています。
$ sudo vim /etc/ssh/sshd_config
指示されたように、Banner none ディレクティブを探します。ここでは SSH カスタム警告を含むファイルへのパスを指定する必要があります。
次のステップは、カスタムバナーを定義するファイルを作成することです。これは前のステップで指定した/etc/mybannerファイルです。
Banner /etc/mybanner
変更内容を保存してファイルを終了します。
ステップ2:SSH警告バナーの作成
次のステップは、カスタムバナーを定義するファイルを作成することです。これは前のステップで指定した/etc/mybannerファイルです。
$ sudo vim /etc/mybanner
表示されるバナーを貼り付けます。必要に応じて編集してください。
------------------------------------------------------------ ------------------------------------------------------------ Authorized access only! If you are not authorized to access or use this system, disconnect now! ------------------------------------------------------------ ------------------------------------------------------------
変更内容を保存してファイルを終了します。
変更を適用するには、SSHサービスを再起動します:
$ sudo systemctl restart sshd
ステップ3:SSH警告バナーのテスト
バナーをテストするために、リモートサーバーにログインしてみます。パスワードプロンプトの直前に警告バナーが表示され、不正なユーザーがログインするのを防ぎます。
$ ssh user@remote-server-ip
ステップ4:MOTDバナーの設定
ログイン後すぐにMOTD(Message Of The Day)バナーを設定したい場合は、/etc/motdファイルを編集します。
$ sudo vim /etc/motd
MOTDメッセージを指定します。この場合、カスタムASCIIアートを作成しました。
_____ _ _ |_ _| (_) | | | | ___ ___ _ __ ___ _ _ __ | |_ | |/ _ \/ __| '_ ` _ \| | '_ \| __| | | __/ (__| | | | | | | | | | |_ \_/\___|\___|_| |_| |_|_|_| |_|\__|
変更内容を保存して、再度SSHサービスを再起動します。
$ sudo systemctl restart sshd
ログイン後すぐに以下のようにMOTDが表示されます。
以上です。これで、サーバーにカスタムSSH警告バナーを設定して、不正なユーザーがシステムにアクセスするのを防げることを願っています。