一般ユーザのコマンド制限について

サーバの細かい設定など現在勉強中の為まだまだ未熟ではございますが、
皆さまのお力を貸して頂きたいと思い質問の掲示板を投稿させて頂きました。
できればそんなこともしらないのかみたいな発言などしていないで頂けると
幸いでございます(^。^;)

■質問内容
SSHサーバの一般ユーザで不要なコマンドを使えないよう制限の設定をしており動作確認は
既に済んでいるのですが、下記設定が適切なのかを自信がないためご教示頂けないでしょか。
(1)の設定で一般ユーザがSSHコマンドが使えなかったから強制的に(3)の設定でできるように
しているのではないかというに感じちゃいます。(※うまく説明ができずすいません)

■上記の理由
私自身の考えとしては上記で申し上げている通り、一般ユーザでは不要なコマンドを
使えないようにしてセキュリティ対策を少しでも強化できればいいなと思っております。
詳しい方にはそんなの強化にならないんじゃないかと言われちゃうかもしれませんが・・・。

[Windows10(Putty)]⇒[CenOS(SSHサーバ)]⇒[CenOS(Webサーバ)]

[設定作業の流れ]
(1)server-world / 制限付きシェルを使う - rbash
https://www.server-world.info/query?os=CentOS_5&p=rbash

(2)SSHサーバからWebサーバへSSHで接続を使用したら下記のエラーがでました。
「command not found」

(3)上記エラーが出たため、/bin/bashと同様で下記のサイトを参考にして設定しました。
http://server-setting.info/centos/login_user.html

(4)SSHサーバからWebサーバへSSHで無事接続ができました
-------------------------------------------------------------------------------------------------------------------------------

また、よろしければSELinuxの勉強をするとき分かりやすい教材やサイトなどがありましたら
ご教示いただけると幸いでございます。

もっともっと勉強していたので皆様のお力を貸して頂けるとすごく助かります！！

ベストアンサー anmochi 回答No.2

いただいた補足に対してまず論じておくと、ますますSSHサーバの存在意義が分からない。
根本的な着目点は「いかにWebサーバに対する外部からのSSHを制御するか」であって、
それが「WebサーバはEth2から来るクライアントに対してのみSSHを許可、WebサーバのEth2とWin10のEth2をつなぐ、Win10はインターネットに対してリモートデスクトップを提供、これによりWebサーバのSSHはインターネットから保護できる」という、つまりSSHサーバが無い構成に対してSSHサーバを置く事でどんなメリットがあるのか分からないのです。デメリットは前回論じたとおり運用保守の対象が増える。あるのとないのとでWebサーバのMTBFにはあまり影響しないのでこちらはデメリットとしては挙げない。

> ざっくり説明すると、ＳＳＨの侵入経路を上記のようにすれば
> 制限できるんじゃないかなぁと思っております。
うーん・・・・あなたの話を総合するとあなたの主張は
「sshよりもリモートデスクトップの方がセキュリティが高い（＝sshは外から絶対に防ぎたいけどリモートデスクトップはポート番号を変えればインターネットにさらしても問題なし）」
と言っているように見えるんだけど大丈夫かな。
はっきり言ってポート番号を変えたくらいでリモートデスクトップのセキュリティが向上するとは思えない。いや、思えないではなく、向上はない、と言っておこう。

話を聞けば聞くほど「その構成はセキュアではない」と思えてくる。
正直これならWebサーバ1台のみ、SSHはフロントのFW（iptablesなりfirewalldなり）で特定のIPアドレスからしか許可しない、の方がセキュリティ上もコスト上も優れていると私は思う。またはWebサーバーをOpenVPNサーバーにして、VPN接続からのみSSHを受け付けるようにするとか、そちらの方がセキュリティ上は有効ではないかな。

ここから下は提案でもなくあくまであんもちの私見であり小話程度に聞いて欲しいのだが、どうしてもWebサーバに（インターネットから直接）SSHしたくない、踏み台サーバが欲しいというのであれば
・Webサーバのフロント側はお好きなように。
・Webサーバのeth2と踏み台サーバのeth2を内部でつなぐ。
・踏み台サーバでOpenVPNのサービスを提供する。ブリッジではなくトンネル。
・踏み台サーバのeth0をインターネットとつなげてFWでインターネットからのアクセスはOpenVPNのみにする。もちろんポート番号は1194ではなく適当なポート番号に変える。インターネットからはPingも受け付けなくする。
・踏み台サーバはeth2とtun0（←OpenVPNサーバ起動時に作成される仮想ネットワークデバイス）でルーティングできるようにする。
これで、インターネットからWebサーバにSSHしたければ踏み台サーバの方にOpenVPNで接続してVPN経由で行うという事が可能で、しかもこの構成を取ると踏み台サーバはSSHを提供する必要すらない。インターネットからはVPN経由で透過的にWebサーバにSSHする事が可能でしかもWebサーバと踏み台サーバともにインターネットに対してSSHを公開していない。
これはSSHのみならずFTPなどにも応用できる。VPNを経由すればWebデザイナーのようなコンテンツの転送にFTPしか使った事ないですという人でも問題ない（まぁこの例に限って言えばFFFTPの変わりにWinSCPでSFTPを使わせとけという話かも知れないが）。
さらに、さくらで同じリージョン内にいくつサーバーを借りてもeth2同士でつなげば踏み台は1台ですむ。踏み台サーバのFWとOpenVPNの機能で（ユーザがどのサーバにアクセスできるか）通信の制御も可能だ。

anmochi 回答No.1

[CenOS(SSHサーバ)]でsshコマンドだけを許すのは、すなわち(2)の問題に対する策は(3)の手順を行うのではなく(1)の中で
# ln -s /usr/bin/ssh /home/testuser/bin/ssh
とすべきではないだろうか。(3)を実行するとtestuserのログインシェルがbashになって全コマンド実行できるようにならないかい？　testuserのシェルを/opt/rbashにして制限かかった後にシェルを/bin/bashにして制限を撤廃しているように読めるのだけど私の勘違い？

で、このような構成をする場合は[CenOS(SSHサーバ)]にてSSHトンネルの機能を使えなくすべきだろう。/etc/ssh/sshd_configに
AllowTcpForwarding no
という行を追加する。すでにAllowTcpForwarding yesという行がある場合はそれをnoに変える。

SELinuxは日本語の分かりやすい文献が少なくて困るねぇ。私も面倒で大抵無効にしてしまうのであまり詳しくない。

最後に、蛇足ではあるがセキュリティとはそもそもなんだろうかという事について。いろいろと考え方はあると思うが、私はセキュリティを簡単に言うと安全性と完全性のペアだと思っている。安全性とはアクセスする権限がない人が正しくアクセスできない事、完全性とはアクセスする権限がある人が正しくアクセスできる事を指す。大抵の場合セキュリティというと前者の事ばかりが挙げられる。
さて、今回の場合は質問者もおそらく前者の方を気にしていると思うので、質問内の構成を取る時に何が脅威（一般人や悪意のある第三者に何をされると困る）かとそれを防ぐ方法を考える。
と思ったんだけどそもそも[CenOS(SSHサーバ)]が何のためにあるのか分からないんだよね。Win10が[CenOS(Webサーバ)]に直接SSHしない理由（目的）をまず教えていただけるとありがたい。つまりこの構成が前段のセキュリティの何を担っているのか。これが仮に「Win10とWebサーバが直接通信しない方がなんとなくセキュリティが高いのではなかろうか」なのだったら私だったら余分なノード（[CenOS(SSHサーバ)]の事）が増える事による管理工数＆セキュリティリスク増加の方を気にするかなぁ。
（あ）Win10と[CenOS(Webサーバ)]がFWで隔てられた別セグメント（例えばWin10が社内LANでWebサーバーがDMZ）にある
とか、
（い）Webサーバはごちゃごちゃ設定いじりたくないからそのフロントにアプリケーションファイアーウォール的に一台かましてる（Webサーバへアクセスできる人間をSSHサーバで取捨選択している）
とかだったら分からなくもないんだけど。
ただ、もし理由がそれらだったら
（あ）→FWが完全性を損ねている原因なだけ。FWの設定を適切にすべき。
（い）→SSHサーバに入れる人はWebサーバに入れるのであればSSHサーバ自体の安全性にそこまで工数をかけるべきか。それならやっぱりSSHサーバ自体が不要なのでは。
と思ってしまう。

補足 2016/07/29 22:50

> [CenOS(SSHサーバ)]でsshコマンドだけを許すのは、すなわち(2)の問題に対する策は(3)の手順を行うのではなく(1)の中で
> # ln -s /usr/bin/ssh /home/testuser/bin/ssh
> とすべきではないだろうか。(3)を実行するとtestuserのログインシェルがbashになって全コマンド実行できるようにならないかい？
> testuserのシェルを/opt/rbashにして制限かかった後にシェルを/bin/bashにして制限を撤廃しているように読めるのだけど私の勘違い？
>
> で、このような構成をする場合は[CenOS(SSHサーバ)]にてSSHトンネルの機能を使えなくすべきだろう。/etc/ssh/sshd_configに
>AllowTcpForwarding no
> という行を追加する。すでにAllowTcpForwarding yesという行がある場合はそれをnoに変える。
>
> ⇒教えていただきありがとうございます。再度手順書修正致します。
>
> SELinuxは日本語の分かりやすい文献が少なくて困るねぇ。私も面倒で大抵無効にしてしまうのであまり詳しくない。
⇒やっぱりそうなんですね。

安全性と完全性の説明わかりやすいです！！ありがとうございます。

> と思ったんだけどそもそも[CenOS(SSHサーバ)]が何のためにあるのか分からないんだよね。
> Win10が[CenOS(Webサーバ)]に直接SSHしない理由（目的）をまず教えていただけるとありがたい。

[現状の構成情報]
■さくらVPS(4Gプラン / Windows10)
[ネットワークの設定]
Eth1(160.16.XXX.XXX)　Global IP 有効
(1)理由

Eth2(172.XXX.XXX.XXX) Private IP 有効
(1)理由
一時的にローカルネットワークの範囲で動作確認の為設定

Eth3(10.XXX.XXX.XXX) Private IP 有効
(1)理由
踏み台サーバに接続するため

[ファイアウォール]
・135～139までのポートをブロック
・リモートデスクのポート番号変更

[ICMP(Ping)の応答]
とくに拒否設定はなし

[その他]
・ウィルス対策ソフト導入済み

■さくらVPS(512Mプラン / 踏み台サーバ)
[ネットワークの設定]
Eth0(160.16.XXX.XXX)　Global IP停止
(01)理由
外部から遮断してアクセスできないようにする

Eth2(10.XXX.XXX.XXX)　Privete IP有効
(01)理由
各サーバにSSHで接続するためPrivate IPを設定

[ソフトウェア]
OpenSSHのみ

[接続元の制限]
Windows10のeth2のみからの通信は許可してそれ以外は全てアクセス拒否

[ICMP(Ping)の応答]
Windows10の環境のEth2からの場合は応答ありでそれ以外は拒否

■さくらVPS(1Gプラン / Webサーバ)
[ネットワークの設定]
Eth0(160.16.XXX.XXX)　Global IP停止
⇒Global IPを停止

Eth1(172.XXX.XXX.XXX)　Private IP有効
⇒今後リバースプロキシとの通信をやる為、PrivateIPを設定

Eth2(10.XXX.XXX.XXX)　Private IP有効
⇒踏み台サーバを経由でSSHを接続するため、PrivateIPを設定

[ソフトウェア]
・OpenSSH
・Apache

[接続元の制限]
踏み台サーバeth2からのみ許可してそれ以外はアクセス拒否

[ICMP(Ping)の応答]
踏み台サーバeth2からのみ許可してそれ以外はタイムアウト

ざっくり説明すると、ＳＳＨの侵入経路を上記のようにすれば
制限できるんじゃないかなぁと思っております。