私はRSA鍵なSSH(ver2)でログインしています。
セキュリティを考えると多分多くの方がそうなんじゃないかなと思います。
一応DTIの会員ページにウェブアプリケーションがあり、
ウェブブラウザからログインすることも可能で非常時にはこちらを使うことはできるのですが、
実は動作保証ブラウザがIE(6〜9)のみで、私が確認する限りではMacのChromeでは動作しません。
最近OpenVPNを積極的に使うようになって思いついたのが
第3の経路としてtelnetを使うことです。
OpenVPNでの接続時に認証できますし、通信は暗号化されていますし、
こちら経由ならtelnetを使うことに不安はありません。
ということでtelnetサーバをセットアップします。
まずは以下を実行します。
# apt-get install telnetdそして設定ファイル"/etc/xinetd.d/telnet"を以下の内容で新規作成します。
service telnet
{
disable = no
socket_type = stream
protocol = tcp
wait = no
user = telnetd
server = /usr/sbin/in.telnetd
}
VPNのローカルからしかログインできないように"/etc/hosts.deny"に
in.telnetd: ALLの行を加え、"/etc/hosts.allow"には
in.telnetd: <VPNでクライアントに割り当てるIPアドレス(*によるワイルドカード使用可能)>の行を加えます。最後に
# /etc/init.d/xinetd restartを実行すれば完了です。
VPN内からのみtelnetのログインが可能になっているはずです。
それ以外からのログインができないことは必ず確認してください。
引き続きftpサーバ(vsftpd)もセットアップします。
何しろtelnetではファイルのやり取りができませんので。
まずは以下を実行します。
# apt-get install vsftpdそして設定ファイル"/etc/vsftpd.conf"で、
anonymous_enable=YESを
anonymous_enable=NOに変更し、
local_enable=YES write_enable=YES tcp_wrappers=YESを追加します。
あとはtelnetサーバのときと同様に"/etc/hosts.deny"に
vsftpd: ALLの行を加え、"/etc/hosts.allow"には
vsftpd: <VPNでクライアントに割り当てるIPアドレス(*によるワイルドカード使用可能)>の行を加えます。最後に
# /etc/init.d/vsftpd restartを実行すれば完了です。
VPN内からのみftpのログインが可能になっているはずです。
それ以外からのログインができないことは必ず確認してください。
通常はsshとDTI独自のウェブコンソールだけで十分だとは思いますが、
世の中何が起こるかわかりません。
備えあれば憂いなしです。
0 件のコメント:
コメントを投稿