制限付きコマンド

可能な制御方法

1. 特定のディレクトリ内での SCP のみ許可
   • command="/usr/bin/scp -t /allowed/path" のように設定すると、特定のディレクトリへのファイル転送のみを許可できます。
2. ファイル転送方向の制限
   • command="/usr/bin/scp -t /allowed/path"（アップロードのみ許可）
   • command="/usr/bin/scp -f /allowed/path"（ダウンロードのみ許可）
3. 特定のキーに対してのみ SCP を許可
   • ~/.ssh/authorized_keys に以下のようなエントリを追加すれば、その鍵を使った場合のみ特定のコマンドを実行させることができます：
     ini

     コピーする編集する

     command="/usr/bin/scp -t /allowed/path",no-port-forwarding,no-X11-forwarding,no-agent-forwarding ssh-rsa AAAAB3N...

   • -t（ターゲット）を使うと、サーバーがクライアントからのアップロードを受け入れます。
   • -f（ファイル）を使うと、サーバーがクライアントにファイルを送ります。
4. シェルアクセスを禁止
   • command="..." を指定すると、通常のシェルアクセスができなくなるため、SCP のみ許可する用途に適しています。

問題点

• SCP は ssh のサブシステムとして動作するため、意図しない方法でバイパスされる可能性があります。
• クライアント側で scp コマンドを改変した場合、制限を回避されるリスクがあるため、より厳密な制御が必要なら rsync --rsh='ssh -i restricted_key' などの方法を検討するのもあり。

まとめ 制限付き鍵 (command="...") を使えば、特定の公開鍵を持つユーザーが SCP を実行することを許可できます。ただし、細かい制御をするには scp の挙動を理解し、-t や -f を適切に設定する必要があります。

SCP の仕組み

1. クライアント側
   • scp localfile user@server:/path/to/destination
   • クライアントの scp は ssh を使ってリモートの scp を呼び出します。
2. サーバー側
   • ssh user@server scp -t /path/to/destination
   • クライアントの scp はサーバー側で scp -t（ターゲットモード）を起動し、データを送信します。
   • ダウンロードの場合は scp -f（ファイル取得モード）が使われます。

制御の可能性

サーバー側で authorized_keys に command="/usr/bin/scp -t /allowed/path" のように指定すれば、特定のディレクトリへのアップロードだけを許可する ことができます。 また、scp -f を使うことで、ダウンロード専用の制限 を加えることもできます。

より細かい制御

もしさらに細かい制御をしたい場合、scp をラップするスクリプトを作成して command="..." に設定する方法もあります。例えば：

このようにすると、サーバー側で scp の実行を制限でき、クライアント側の任意のコマンド実行を防ぐことができます。

結論

サーバー側でも scp コマンドが動作するため、制限付き鍵 (command="...") を利用することで、クライアント側の SCP の動作をサーバーでコントロールできます。

方法1: シェルスクリプトで分岐

たとえば、scp の アップロード (-t) とダウンロード (-f) の両方を許可 したい場合、以下のようなスクリプトを作ります。

1. サーバー側にスクリプトを作成

サーバーの /usr/local/bin/restricted_scp.sh に以下のスクリプトを保存します。

このスクリプトは scp -t /allowed/path または scp -f /allowed/path のみを許可し、それ以外のコマンドは拒否します。

2. スクリプトを実行可能にする

3. authorized_keys に設定

~/.ssh/authorized_keys に以下のように設定します。

方法2: && を使う (簡易版)

もし 2つの特定のコマンドをそのまま許可したい 場合、以下のように command="cmd1 || cmd2" という形で指定する方法もあります。

ただし、長くなると可読性が悪くなるため、スクリプトを使う方法 (方法1) の方がおすすめです。

補足

• scp -t /allowed/path → クライアントがファイルを アップロード する際にサーバー側で動作
• scp -f /allowed/path → クライアントがファイルを ダウンロード する際にサーバー側で動作
• SSH_ORIGINAL_COMMAND は SSH 経由で実行された元のコマンドを取得する環境変数

この設定を使えば、SCP の アップロード と ダウンロード を許可しつつ、それ以外のコマンドは実行できないようにできます。

1. $SSH_ORIGINAL_COMMAND とは？

$SSH_ORIGINAL_COMMAND は、SSH の authorized_keys ファイルで command="..." を指定した場合に、クライアントが送った元のコマンド を取得する環境変数です。

例:

クライアント側が以下のコマンドを実行したとします：

この場合、サーバー側では次のコマンドが実行されます：

command="..." を設定していると、実際に実行されたコマンドは $SSH_ORIGINAL_COMMAND という環境変数に格納されます。

活用方法:

制限付き鍵の設定 (command="...") をしている場合、サーバー側のスクリプト内で $SSH_ORIGINAL_COMMAND を確認し、不正なコマンドをブロックすることができます。

このスクリプトは、許可された scp コマンドだけを実行し、それ以外のコマンドは拒否します。

2. no-port-forwarding, no-X11-forwarding, no-agent-forwarding とは？

これらは ~/.ssh/authorized_keys に設定することで、SSH クライアントが特定の機能を使えないようにする セキュリティオプション です。

(1) no-port-forwarding

ポートフォワーディングを禁止します。
これを設定しないと、クライアント側から以下のようにポートフォワーディングができてしまいます：

これが有効だと、攻撃者がサーバーを踏み台にして別のシステムにアクセスする可能性があります。

(2) no-X11-forwarding

X11 フォワーディングを禁止します。
これを設定しないと、クライアントがサーバー上の GUI アプリケーションを X11 経由でリモート表示できます：

GUI を使わないなら、X11 フォワーディングを無効にするのが安全です。

(3) no-agent-forwarding

SSH エージェントのフォワーディングを禁止します。
ssh-agent を使って秘密鍵を管理している場合、フォワーディングを許可すると、サーバーを経由して別のサーバーへ SSH 接続が可能になります。

これが有効だと、攻撃者がサーバーに侵入した場合、SSH エージェントを利用してさらに別のサーバーに侵入する可能性があります。

まとめ

SCP だけを許可する場合、authorized_keys には以下のように設定すると、安全に制御できます。

これにより、

• scp -t /allowed/path（アップロード）
• scp -f /allowed/path（ダウンロード）

のみを許可し、それ以外の SSH 機能（ポートフォワーディング、X11、エージェント転送）をすべて無効化できます。

制限付きコマンド (command="...") の基本的な動作

通常、SSH の authorized_keys に command="固定のコマンド" を設定すると、その鍵を使ったログインでは 常にその固定コマンドだけが実行される ため、好きなコマンドを実行することはできません。
たとえば、以下のように設定すると：

この場合、クライアントが SCP のアップロード (scp -t) のみ 実行でき、それ以外の SSH コマンド（ls, cat, rm, ssh user@server など）は実行できません。

なぜスクリプトで制御が必要なのか？

もし「複数の SCP コマンド (アップロードとダウンロードの両方)」を許可したい場合、command="..." では単一のコマンドしか指定できないため、単純に command="/usr/bin/scp -t /allowed/path" とすると ダウンロード (scp -f) はできなくなる という問題があります。
つまり、「アップロード (scp -t) もダウンロード (scp -f) も許可したい」となると、command="..." だけでは対応できないため、スクリプトで条件分岐を作る必要があるのです。

スクリプトで許可コマンドだけを実行し、それ以外を拒否する例

以下のようにスクリプト (restricted_scp.sh) を作れば、scp -t（アップロード）と scp -f（ダウンロード）の 両方を許可 し、それ以外のコマンドを 明示的に拒否 できます。

このスクリプトの動作

1. クライアントが scp を実行すると、サーバー側の $SSH_ORIGINAL_COMMAND にはクライアントが送った scp -t または scp -f のコマンドが入る。
2. if 文で scp -t または scp -f の場合のみ許可し、exec で実行する。
3. それ以外のコマンドが送られてきた場合、エラーメッセージを出して拒否する (exit 1)。

スクリプトなしで command="..." だけではダメなのか？

command="..." に直接 scp -t /allowed/path || scp -f /allowed/path" のように記述すれば 一応 可能ですが、可読性が悪く、長いコマンドを書くとエラーになりやすいため、スクリプトを使うのが一般的 です。
たとえば、以下のように authorized_keys に直接書くことも可能ですが、

• 可読性が悪い
• 長いコマンドがエラーを引き起こすことがある
• 拡張性が低い（他の制御を追加しづらい）

といった問題があるため、スクリプトを使うほうが安全で管理しやすくなります。

結論

✅ command="..." を使うと、クライアント側で任意のコマンド実行は 基本的に拒否 される。
✅ ただし、「複数のコマンドを許可する」場合は、スクリプトで明示的に制御する必要がある。
✅ $SSH_ORIGINAL_COMMAND を使えば、クライアントが送ったコマンドをサーバー側でチェックし、許可するものだけを実行し、それ以外を拒否できる。
✅ スクリプトを使う方法が一般的で、可読性や拡張性の面でもメリットがある。

1. クライアント側の動作

クライアントが以下のコマンドを実行するとします：

この場合、サーバー側では scp -f /path/to/allowed_file が実行されます。

2. authorized_keys の設定

SSH の authorized_keys に、以下のように command="..." を設定します。

この設定により、クライアントがこの鍵を使った場合、必ず restricted_scp.sh が実行される ようになります。

3. restricted_scp.sh の作成

/usr/local/bin/restricted_scp.sh を作成し、実行権限を与えます。

このスクリプトの動作：

• $SSH_ORIGINAL_COMMAND を確認し、scp -f /path/to/allowed_file の場合のみ実行 (exec $SSH_ORIGINAL_COMMAND)
• それ以外の SCP コマンドはエラーを出して拒否 (exit 1)

スクリプトのパーミッションを変更

4. 動作確認

クライアントで許可されたファイルをコピーする場合：

→ 成功 (ファイルがコピーされる) ✅
他のファイルを指定した場合：

→ エラー (アクセス拒否される) ❌

5. 追加の制御 (ディレクトリごとの許可)

もし 特定のディレクトリ内のファイルだけ許可 したい場合は、スクリプトを以下のように修正できます。

→ この場合、/path/to/allowed_directory/ 内のファイルはダウンロード可能だが、それ以外は不可になる。

まとめ

✅ クライアントが サーバー上の特定のファイルのみ scp でコピーできるようにする
✅ authorized_keys に command="restricted_scp.sh" を設定し、許可されたコマンド以外を拒否
✅ restricted_scp.sh で $SSH_ORIGINAL_COMMAND をチェックし、特定のファイルのみを許可
✅ no-port-forwarding,no-X11-forwarding,no-agent-forwarding を指定して 余計な機能を無効化
この設定により、サーバー上の重要なファイルが盗まれるリスクを防ぎつつ、必要なファイルだけを安全に転送 できます！

SCP の内部動作

SCP は SSH の仕組みを使って動作し、ファイルをコピーするときに、サーバー側で自動的に scp コマンドが起動される 仕様になっています。
クライアントが以下のコマンドを実行すると：

SCP の動作フロー

1. クライアントは SSH を利用してサーバーに接続 し、リモートの scp を呼び出します。
2. クライアントは SSH 経由で、以下のようなコマンドをサーバー側で実行します：
   bash

   コピーする編集する

   ssh user@server "scp -f /path/to/allowed_file"

   • scp -f の -f は サーバーからファイルを取得 (fetch) するモードを意味します。
   • scp -t は サーバーへファイルを送信 (target) するモードです（アップロード時に使われる）。
3. その結果、サーバー側で $SSH_ORIGINAL_COMMAND に "scp -f /path/to/allowed_file" がセットされる。

なぜ $SSH_ORIGINAL_COMMAND に scp -f /path/to/allowed_file が入るのか？

SSH の authorized_keys に command="..." を設定すると、クライアントが接続した際に クライアントが送ったコマンド (SSH経由で実行されるコマンド) が $SSH_ORIGINAL_COMMAND に保存される からです。
つまり、クライアントが scp user@server:/path/to/allowed_file ./local_copy を実行すると、
サーバーでは scp -f /path/to/allowed_file が実行されるため、$SSH_ORIGINAL_COMMAND は次のようになります：

動作の確認

サーバー側で restricted_scp.sh を以下のように書くと、実際に $SSH_ORIGINAL_COMMAND に何が入っているか確認できます。

これを設定した状態で、クライアントから scp を実行した後、サーバー側で /tmp/scp_log.txt を確認すると、以下のようなログが残ります。

まとめ

✅ クライアント側の scp user@server:/path/to/allowed_file ./local_copy
✅ サーバー側では scp -f /path/to/allowed_file が実行される
✅ そのため $SSH_ORIGINAL_COMMAND == "scp -f $ALLOWED_FILE" で条件をチェックできる
この仕様を利用すれば、特定のファイルだけを許可し、それ以外のダウンロードを拒否 することが可能になります！

SCP の通信の流れ

1. クライアント側
   • scp user@server:/path/to/allowed_file ./local_copy を実行
2. サーバー側
   • SSH を通じて、scp -f /path/to/allowed_file というコマンドが自動的に実行される
   • そのため、サーバー側の環境変数 $SSH_ORIGINAL_COMMAND には "scp -f /path/to/allowed_file" がセットされる

確認方法

サーバー側で $SSH_ORIGINAL_COMMAND の値をログに記録すれば、クライアントが送ったコマンドがどのように処理されているかを確認できます。

テスト用スクリプト

サーバーの /usr/local/bin/debug_scp.sh に以下の内容でスクリプトを作成：

authorized_keys に設定

これで、クライアントから SCP を実行した後、サーバーの /tmp/scp_debug.log を確認すると、どのようなコマンドが受け取られているかが記録される ので、実際の動作を検証できます。

結論

✅ $SSH_ORIGINAL_COMMAND は サーバー側でクライアントから送られたコマンドの内容 を表す
✅ scp の場合、クライアントが実行した scp コマンドに応じて、サーバー側では scp -f または scp -t が実行される
✅ $SSH_ORIGINAL_COMMAND を利用すれば、サーバー側で許可する SCP コマンドを制限できる
これを応用すれば、特定のファイルだけをダウンロード可能にしたり、不正なアクセスを防ぐ ことができます！