FTPでアカウント別にIP制限でつまずく
FTPでユーザごとにIP制限をしたいというお話。sftp使いなよと言いたいところですが、なんぞ、FFFTPから離れたくない様子なので設定しました。PAM使ってるしできるだろうと思っていたら、またまたつまずきました。
- ユーザ別IP制限はpam_access.soで行う
- ユーザ管理はバーチャルユーザ(pam_userdb.soとvsftpdのguest_enable=yes)で、OSのユーザとは切り離して運用
の組み合わせで撃沈。pam_access.soはOSのユーザで判定するため、pam_access.soで全ユーザ全アクセス許可の設定にしてもログイン失敗します。
しょうがないのでログインできないOSユーザを作成して回避しました。
# useradd -s /sbin/nologin ユーザID
きっともっといい方法があるはず。