Anno domini 2011 Cord Beermann scripsit: Hi!
> Ich brauche mal jemanden zum Denken, oder Fehler finden. > Ich möchte mich aus Backupgründen auf einen Linux-Server per ssh > als root einloggen, aus security Gründen mchte ich das nur aus > handverlesenen Netzen machen. > Gleichzeitig möchte ich mich unbeschränkt als normaler User anmelden > können. > Authorisierungsfragen (key/password) lasse ich mal aussen vor. > Beispiel: > Backupserver (10.0.0.1) ---- ssh ---> root@SERVER (10.0.0.2) soll gehen. > sonstiges (z.B. 192.168.0.1) --> ssh --> root@SERVER (10.0.0.2) nicht. > gleichzeitig soll aber: > Backupserver (10.0.0.1) ---- ssh ---> cord@SERVER (10.0.0.2) soll gehen. > sonstiges (z.B. 192.168.0.1) --> ssh --> cord@SERVER (10.0.0.2) auch. > alle Klarheiten beseitigt? > ich habe also > http://www.cyberciti.biz/tips/openssh-root-user-account-restriction-revisited.html > ausgegraben, welches beschriebt wie man das mit PAM realisert. [...] Dazu hab ich jetzt keine Idee, ich täts aber auch anders lösen :) Davon ausgehend, dass Du Keys zur Authentifikation benutzt (zumindest zwingend für die Root-Logins, aber das würde man automatisiert IMO eh nicht anders machen wollen) kannst Du die Restriktionen an die Keys/den Key in der authorized_keys knoten. from="10.0.0.*,1.2.3.5/29",no-agent-forwarding,no-port-forwarding,no-X11-forwarding <key bla fasel foo bar> Ggf. kannst Du je nach Backuptools sogar noch 'nen 'command' festtackern. -> man sshd /AUTHORIZED_KEYS FILE FORMAT HTH Ciao Max -- Zensur im Internet? Nein danke! -- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
