Re: Corosync y configuración segura de SSH

2016-06-20 Por tema Esteban Monge 

El 2016-06-20 09:09, Alfonso escribió:

Saludos:


El 20/06/16 a las 16:13, Camaleón escribió:



(...)

Hum... pues piensa si no te convendría usar el acceso sin contraseñas
para root ("PermitRootLogin without-password") y que los usuarios 
tengan

acceso convencional (usuario/contraseña). Si no necesitas aplicar más
filtros/restricciones sobre la conexión SSH, con este sistema y un 
único

puerto a la escucha entiendo que te bastaría.



Ostras, pues creo que es lo ideal. De hecho cuando se añaden nodos al
master si que pide el password de root, pero solo esa vez ya que luego
tira de llaves ssh.

Ya había probado y funcionaba con las dos instancias de SSH (J. Lavieri
gracias por el manual de RedHat), pero esta opción me convence más ya
que es más facil de gestionar al tener todo lo que necesito en un único
fichero de configuración y de una manera más "estandar".

De nuevo, gracias a todos.


Solo para meter la cuchara en la sopa... otra opción es utilizar OpenSSH 
y Dropbear. Claro eso implicaría complicar el tema de archivos de 
configuración...








Saludos,

Re: Corosync y configuración segura de SSH

2016-06-20 Por tema Alfonso 
Saludos:


El 20/06/16 a las 16:13, Camaleón escribió:

> 
> (...)
> 
> Hum... pues piensa si no te convendría usar el acceso sin contraseñas 
> para root ("PermitRootLogin without-password") y que los usuarios tengan 
> acceso convencional (usuario/contraseña). Si no necesitas aplicar más 
> filtros/restricciones sobre la conexión SSH, con este sistema y un único 
> puerto a la escucha entiendo que te bastaría.
> 

Ostras, pues creo que es lo ideal. De hecho cuando se añaden nodos al
master si que pide el password de root, pero solo esa vez ya que luego
tira de llaves ssh.

Ya había probado y funcionaba con las dos instancias de SSH (J. Lavieri
gracias por el manual de RedHat), pero esta opción me convence más ya
que es más facil de gestionar al tener todo lo que necesito en un único
fichero de configuración y de una manera más "estandar".

De nuevo, gracias a todos.




> Saludos,
> 


-- 
Alfonso 



signature.asc
Description: OpenPGP digital signature

Re: Corosync y configuración segura de SSH

2016-06-20 Por tema Camaleón 
El Sun, 19 Jun 2016 22:37:01 +0200, Alfonso escribió:

> Saludos:
> 
>> Creo que la clave de lo que buscas es tener dos instancias de sshd
>> apuntando cada a su puerto y con su archivo de configuración
>> correspondiente. Es lioso porque hay que cuidar de los scripts de
>> inicio/
>> parada, PID de las dos instancias, etc... considera si no te resultaría
>> más sencillo el bloqueo por iptables.
>> 
>> 
> Puedo bloquear por iptables un puerto determinado y solo darle acceso a
> unos hosts... sin problemas, pero como han comentado anteriormente si
> permito que root pueda hacer login, este permiso estará activo en
> cualquiera de los los puertos.

(...)

Hum... pues piensa si no te convendría usar el acceso sin contraseñas 
para root ("PermitRootLogin without-password") y que los usuarios tengan 
acceso convencional (usuario/contraseña). Si no necesitas aplicar más 
filtros/restricciones sobre la conexión SSH, con este sistema y un único 
puerto a la escucha entiendo que te bastaría.

Saludos,

-- 
Camaleón

Re: Corosync y configuración segura de SSH

2016-06-19 Por tema Juan Lavieri 

Hola.


El 19-06-2016 a las 04:21 p.m., Alfonso escribió:

Saludos:

El 19/06/16 a las 20:03, Juan Lavieri escribió:


Creo que la clave de lo que buscas es tener dos instancias de sshd
apuntando cada a su puerto y con su archivo de configuración
correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/
parada, PID de las dos instancias, etc... considera si no te resultaría
más sencillo el bloqueo por iptables.

Interesante solución.

Como jamás me ha hecho falta ni se me ocurrió que esto sería posible.
Leyendo un poco me topé con esta información que quizás pueda ayudar:

https://access.redhat.com/solutions/1166283

Muchas gracias a todos. Parece ser que crear una nueva instancia es la
única manera de separar los comportamientos de SSH en función del puerto
(en mi caso).

He estado mirando este enlace que también explica de forma detallada de
como hacerlo:


http://ubuntuforums.org/showthread.php?t=1497376


Esa información es muy antigua y creo que en ese enlace no hacen 
referencia a las cosas que hay que modificar con relación a systemd.





Saludos,


Saludos y Gracias Camaleón por tu aporte aunque no sea para mi.





Saludos

--
Juan M Lavieri

Errar es de humanos, pero es mas humano culpar a los demás.

Re: Corosync y configuración segura de SSH

2016-06-19 Por tema Alfonso 
Saludos:

> Creo que la clave de lo que buscas es tener dos instancias de sshd 
> apuntando cada a su puerto y con su archivo de configuración 
> correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/
> parada, PID de las dos instancias, etc... considera si no te resultaría 
> más sencillo el bloqueo por iptables.
> 

Puedo bloquear por iptables un puerto determinado y solo darle acceso a
unos hosts... sin problemas, pero como han comentado anteriormente si
permito que root pueda hacer login, este permiso estará activo en
cualquiera de los los puertos.

Lo único que veo para minimizar el impacto es poner por encima un
fail2bain o denyhosts (que por cierto, ha desaparecido de estable) para
minimizar el impacto, pero root podrá seguir haciendo login contra ambos
puertos.

La otra opción, la comentada de las dos instancias.



-- 
Alfonso 



signature.asc
Description: OpenPGP digital signature

Re: Corosync y configuración segura de SSH

2016-06-19 Por tema Alfonso 
Saludos:

El 19/06/16 a las 20:03, Juan Lavieri escribió:

>> Creo que la clave de lo que buscas es tener dos instancias de sshd
>> apuntando cada a su puerto y con su archivo de configuración
>> correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/
>> parada, PID de las dos instancias, etc... considera si no te resultaría
>> más sencillo el bloqueo por iptables.
> 
> Interesante solución.
> 
> Como jamás me ha hecho falta ni se me ocurrió que esto sería posible. 
> Leyendo un poco me topé con esta información que quizás pueda ayudar:
> 
> https://access.redhat.com/solutions/1166283

Muchas gracias a todos. Parece ser que crear una nueva instancia es la
única manera de separar los comportamientos de SSH en función del puerto
(en mi caso).

He estado mirando este enlace que también explica de forma detallada de
como hacerlo:


http://ubuntuforums.org/showthread.php?t=1497376

> 
> 
>>
>> Saludos,
>>
> Saludos y Gracias Camaleón por tu aporte aunque no sea para mi.
> 


-- 
Alfonso 



signature.asc
Description: OpenPGP digital signature

Re: Corosync y configuración segura de SSH

2016-06-19 Por tema Juan Lavieri 

Hola.


El 19-06-2016 a las 11:42 a.m., Camaleón escribió:

El Sun, 19 Jun 2016 07:02:45 +0200, Alfonso escribió:

(...)


De momento he puesto SSH a correr en dos puertos diferentes (22 y otro)
y via iptables cerraré el 22 y solo lo permitiré para las IP's privadas
de los nodos, pero existe alguna manera de poder configurar SSH de la
siguiente manera:

-Puerto 22:
PermitRootLoguin yes

- Otro puerto SSH:
PermitRootLogin no
AllowUsers user1 user2 ...

Muchas gracias.

Hum... entiendo.

Creo que la clave de lo que buscas es tener dos instancias de sshd
apuntando cada a su puerto y con su archivo de configuración
correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/
parada, PID de las dos instancias, etc... considera si no te resultaría
más sencillo el bloqueo por iptables.


Interesante solución.

Como jamás me ha hecho falta ni se me ocurrió que esto sería posible.  
Leyendo un poco me topé con esta información que quizás pueda ayudar:


https://access.redhat.com/solutions/1166283




Saludos,


Saludos y Gracias Camaleón por tu aporte aunque no sea para mi.

--
Juan M Lavieri

Errar es de humanos, pero es mas humano culpar a los demás.

Re: Corosync y configuración segura de SSH

2016-06-19 Por tema Camaleón 
El Sun, 19 Jun 2016 07:02:45 +0200, Alfonso escribió:

(...)

> De momento he puesto SSH a correr en dos puertos diferentes (22 y otro)
> y via iptables cerraré el 22 y solo lo permitiré para las IP's privadas
> de los nodos, pero existe alguna manera de poder configurar SSH de la
> siguiente manera:
> 
> -Puerto 22:
> PermitRootLoguin yes
> 
> - Otro puerto SSH:
> PermitRootLogin no 
> AllowUsers user1 user2 ...
> 
> Muchas gracias.

Hum... entiendo.

Creo que la clave de lo que buscas es tener dos instancias de sshd 
apuntando cada a su puerto y con su archivo de configuración 
correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/
parada, PID de las dos instancias, etc... considera si no te resultaría 
más sencillo el bloqueo por iptables.

Saludos,

-- 
Camaleón

Re: Corosync y configuración segura de SSH

2016-06-19 Por tema Juan Lavieri 

Hola Alfonso.

El 19/06/16 a las 01:02, Alfonso escribió:

Saludos:

Estoy montando un cluster con dos nodos (cada uno de ellos con su IP
pública y una IP privada, y por esta última es por donde se valida el
estado del latido del cluster).

Por requerimientos de Corosync debe estar abierto el puerto 22 de la
otra máquina con acceso para root.

De momento he puesto SSH a correr en dos puertos diferentes (22 y otro)
y via iptables cerraré el 22 y solo lo permitiré para las IP's privadas
de los nodos, pero existe alguna manera de poder configurar SSH de la
siguiente manera:

-Puerto 22:
PermitRootLoguin yes

- Otro puerto SSH:
PermitRootLogin no
AllowUsers user1 user2 ...


El man sshd_config es muy claro.  El parámetro PermitRootLogin controla 
el acceso con root sin importar por donde venga, mientras que el 
parámetro Port si puede contemplar la posibilidad de "escuchar" varios 
puertos a la vez.


En otras palabras, o root entra o no entra, sin importar la vía.



Muchas gracias.



Saludos.

Corosync y configuración segura de SSH

2016-06-18 Por tema Alfonso 
Saludos:

Estoy montando un cluster con dos nodos (cada uno de ellos con su IP
pública y una IP privada, y por esta última es por donde se valida el
estado del latido del cluster).

Por requerimientos de Corosync debe estar abierto el puerto 22 de la
otra máquina con acceso para root.

De momento he puesto SSH a correr en dos puertos diferentes (22 y otro)
y via iptables cerraré el 22 y solo lo permitiré para las IP's privadas
de los nodos, pero existe alguna manera de poder configurar SSH de la
siguiente manera:

-Puerto 22:
PermitRootLoguin yes

- Otro puerto SSH:
PermitRootLogin no
AllowUsers user1 user2 ...

Muchas gracias.


-- 
Alfonso 



signature.asc
Description: OpenPGP digital signature