authorized_keysのオプション
いろいろ出来るんですね。最近まで知りませんでした。
http://www.unixuser.org/~euske/doc/openssh/jman/sshd.html
fromオプションなんかは、TCP Wrapperでは制御できないような細かい設定をしたい…
といった場合があれば便利なのかも。ユーザ毎に接続元を細かく絞りたい時とか。
from="!foo.example.com,*.example.com" ssh-rsa AAAAB3NzaC1yc2EAAA.......
例えば上記のように書いておけば、
bar.example.comとかbaz.example.comとかのサブドメインは鍵の使用を許可するけど、foo.example.comは駄目だよ。といったことができます。
ちなみにfromではじかれるとこんなログが出ます。*1
Nov 13 23:26:33 localhost sshd[10518]: Authentication tried for foo with correct key but not from a permitted host (host=foo.example.com, ip=192.168.233.1).
*1:この例では/etc/hostsを弄ってアクセス元のホスト名(192.168.233.1)を制御してます。
