Hi Frank, Am 28.10.2013 19:26, schrieb Frank Bergmann: > On Mon, Oct 28, 2013 at 06:50:21PM +0100, Stefan U. Hegner wrote: >> Allerdings möchte ich gerne für Zugriff aus dem WAN aus >> sicherheitsgründen die PasswordAuthentication ausknipsen und nur >> Zugriffe per key zulassen. >> >> Gibt es eine Möglichkeit, dem sshd solch eine differenzierte >> Vorgehensweise beizubiegen? Oder muss ich dazu einen zweiten sshd mit >> anderer Config z.B. über den xinetd an einem anderen Port lauschen lassen? > Laut "man sshd_config": Match > Ansonsten kann man pro Account den Login einfach selbst beschränken: > ~/.ssh/authorized_keys: > from="192.168.1.1" ssh-rsa .... > Infos dazu stehen in der man-page ssh_config, Stichwort "PATTERNS". > Hilft das? Ja. - Typischer Fall von RTFM .... Grrrr, wieder erwischt!
Praktische Anwendungen habe ich hier gefunden: http://blog.rootshell.be/2010/09/02/configuring-conditional-ssh-connections/ Nur leider funzt es noch gar nicht wie es soll. Vom Prinzip ist das .2er Subnetz das von extern erreichbare Router-Netz und das .1er Subnetz das interne und weiter gesicherte LTSP Netz. Meine sshd_config sieht jetzt so aus (Ausschnitte): Port 22 ListenAddress 192.168.2.0/24 ListenAddress 192.168.1.0/24 [...] Match Address 192.168.1.0/24 # Change to no to disable tunnelled clear text passwords PasswordAuthentication yes Match Address 192.168.2.0/24 # Change to no to disable tunnelled clear text passwords PasswordAuthentication no #EOF Obwohl explizit "Multiple ListenAddress options are permitted." bekomme ich mit der o.g. Config keine Verbindung aus dem .2er Subnetz. - Das verstehe ich nicht. Daher habe ich die beiden Listen Statements erstmal wieder ausgeknipst. Mit den beiden Match-Pairs müsste aus dem .2er Netz keine Password-Anmeldung möglich sein. - Aber leider geht das trotzdem. Dabei liest sich das so schön einfach "When a condition is met, all the directives below will be applied until the next "/Match/" section or the end-of-file. This is why, they must be defined at the end of your sshd_config file." Stehe ich gerade wieder mal voll auf der Leitung ?!?!? (Ach ja, sicher ich habe den sshd neu durchgestartet ...). Any Hints? Danke Stefan. -- Stefan U. Hegner <[email protected]> * * * D-32584 Löhne --- good ole Germany internet: http://www.hegner-web.de * * * GPG-Key | D9DB 51BD 2DA6 9B3A 41CB F-Print | 0287 05A1 8D11 38BA CE91
signature.asc
Description: OpenPGP digital signature
-- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
