Re: Corosync y configuración segura de SSH
El 2016-06-20 09:09, Alfonso escribió: Saludos: El 20/06/16 a las 16:13, Camaleón escribió: (...) Hum... pues piensa si no te convendría usar el acceso sin contraseñas para root ("PermitRootLogin without-password") y que los usuarios tengan acceso convencional (usuario/contraseña). Si no necesitas aplicar más filtros/restricciones sobre la conexión SSH, con este sistema y un único puerto a la escucha entiendo que te bastaría. Ostras, pues creo que es lo ideal. De hecho cuando se añaden nodos al master si que pide el password de root, pero solo esa vez ya que luego tira de llaves ssh. Ya había probado y funcionaba con las dos instancias de SSH (J. Lavieri gracias por el manual de RedHat), pero esta opción me convence más ya que es más facil de gestionar al tener todo lo que necesito en un único fichero de configuración y de una manera más "estandar". De nuevo, gracias a todos. Solo para meter la cuchara en la sopa... otra opción es utilizar OpenSSH y Dropbear. Claro eso implicaría complicar el tema de archivos de configuración... Saludos,
Re: Corosync y configuración segura de SSH
Saludos: El 20/06/16 a las 16:13, Camaleón escribió: > > (...) > > Hum... pues piensa si no te convendría usar el acceso sin contraseñas > para root ("PermitRootLogin without-password") y que los usuarios tengan > acceso convencional (usuario/contraseña). Si no necesitas aplicar más > filtros/restricciones sobre la conexión SSH, con este sistema y un único > puerto a la escucha entiendo que te bastaría. > Ostras, pues creo que es lo ideal. De hecho cuando se añaden nodos al master si que pide el password de root, pero solo esa vez ya que luego tira de llaves ssh. Ya había probado y funcionaba con las dos instancias de SSH (J. Lavieri gracias por el manual de RedHat), pero esta opción me convence más ya que es más facil de gestionar al tener todo lo que necesito en un único fichero de configuración y de una manera más "estandar". De nuevo, gracias a todos. > Saludos, > -- Alfonsosignature.asc Description: OpenPGP digital signature
Re: Corosync y configuración segura de SSH
El Sun, 19 Jun 2016 22:37:01 +0200, Alfonso escribió: > Saludos: > >> Creo que la clave de lo que buscas es tener dos instancias de sshd >> apuntando cada a su puerto y con su archivo de configuración >> correspondiente. Es lioso porque hay que cuidar de los scripts de >> inicio/ >> parada, PID de las dos instancias, etc... considera si no te resultaría >> más sencillo el bloqueo por iptables. >> >> > Puedo bloquear por iptables un puerto determinado y solo darle acceso a > unos hosts... sin problemas, pero como han comentado anteriormente si > permito que root pueda hacer login, este permiso estará activo en > cualquiera de los los puertos. (...) Hum... pues piensa si no te convendría usar el acceso sin contraseñas para root ("PermitRootLogin without-password") y que los usuarios tengan acceso convencional (usuario/contraseña). Si no necesitas aplicar más filtros/restricciones sobre la conexión SSH, con este sistema y un único puerto a la escucha entiendo que te bastaría. Saludos, -- Camaleón
Re: Corosync y configuración segura de SSH
Hola. El 19-06-2016 a las 04:21 p.m., Alfonso escribió: Saludos: El 19/06/16 a las 20:03, Juan Lavieri escribió: Creo que la clave de lo que buscas es tener dos instancias de sshd apuntando cada a su puerto y con su archivo de configuración correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/ parada, PID de las dos instancias, etc... considera si no te resultaría más sencillo el bloqueo por iptables. Interesante solución. Como jamás me ha hecho falta ni se me ocurrió que esto sería posible. Leyendo un poco me topé con esta información que quizás pueda ayudar: https://access.redhat.com/solutions/1166283 Muchas gracias a todos. Parece ser que crear una nueva instancia es la única manera de separar los comportamientos de SSH en función del puerto (en mi caso). He estado mirando este enlace que también explica de forma detallada de como hacerlo: http://ubuntuforums.org/showthread.php?t=1497376 Esa información es muy antigua y creo que en ese enlace no hacen referencia a las cosas que hay que modificar con relación a systemd. Saludos, Saludos y Gracias Camaleón por tu aporte aunque no sea para mi. Saludos -- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los demás.
Re: Corosync y configuración segura de SSH
Saludos: > Creo que la clave de lo que buscas es tener dos instancias de sshd > apuntando cada a su puerto y con su archivo de configuración > correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/ > parada, PID de las dos instancias, etc... considera si no te resultaría > más sencillo el bloqueo por iptables. > Puedo bloquear por iptables un puerto determinado y solo darle acceso a unos hosts... sin problemas, pero como han comentado anteriormente si permito que root pueda hacer login, este permiso estará activo en cualquiera de los los puertos. Lo único que veo para minimizar el impacto es poner por encima un fail2bain o denyhosts (que por cierto, ha desaparecido de estable) para minimizar el impacto, pero root podrá seguir haciendo login contra ambos puertos. La otra opción, la comentada de las dos instancias. -- Alfonsosignature.asc Description: OpenPGP digital signature
Re: Corosync y configuración segura de SSH
Saludos: El 19/06/16 a las 20:03, Juan Lavieri escribió: >> Creo que la clave de lo que buscas es tener dos instancias de sshd >> apuntando cada a su puerto y con su archivo de configuración >> correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/ >> parada, PID de las dos instancias, etc... considera si no te resultaría >> más sencillo el bloqueo por iptables. > > Interesante solución. > > Como jamás me ha hecho falta ni se me ocurrió que esto sería posible. > Leyendo un poco me topé con esta información que quizás pueda ayudar: > > https://access.redhat.com/solutions/1166283 Muchas gracias a todos. Parece ser que crear una nueva instancia es la única manera de separar los comportamientos de SSH en función del puerto (en mi caso). He estado mirando este enlace que también explica de forma detallada de como hacerlo: http://ubuntuforums.org/showthread.php?t=1497376 > > >> >> Saludos, >> > Saludos y Gracias Camaleón por tu aporte aunque no sea para mi. > -- Alfonsosignature.asc Description: OpenPGP digital signature
Re: Corosync y configuración segura de SSH
Hola. El 19-06-2016 a las 11:42 a.m., Camaleón escribió: El Sun, 19 Jun 2016 07:02:45 +0200, Alfonso escribió: (...) De momento he puesto SSH a correr en dos puertos diferentes (22 y otro) y via iptables cerraré el 22 y solo lo permitiré para las IP's privadas de los nodos, pero existe alguna manera de poder configurar SSH de la siguiente manera: -Puerto 22: PermitRootLoguin yes - Otro puerto SSH: PermitRootLogin no AllowUsers user1 user2 ... Muchas gracias. Hum... entiendo. Creo que la clave de lo que buscas es tener dos instancias de sshd apuntando cada a su puerto y con su archivo de configuración correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/ parada, PID de las dos instancias, etc... considera si no te resultaría más sencillo el bloqueo por iptables. Interesante solución. Como jamás me ha hecho falta ni se me ocurrió que esto sería posible. Leyendo un poco me topé con esta información que quizás pueda ayudar: https://access.redhat.com/solutions/1166283 Saludos, Saludos y Gracias Camaleón por tu aporte aunque no sea para mi. -- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los demás.
Re: Corosync y configuración segura de SSH
El Sun, 19 Jun 2016 07:02:45 +0200, Alfonso escribió: (...) > De momento he puesto SSH a correr en dos puertos diferentes (22 y otro) > y via iptables cerraré el 22 y solo lo permitiré para las IP's privadas > de los nodos, pero existe alguna manera de poder configurar SSH de la > siguiente manera: > > -Puerto 22: > PermitRootLoguin yes > > - Otro puerto SSH: > PermitRootLogin no > AllowUsers user1 user2 ... > > Muchas gracias. Hum... entiendo. Creo que la clave de lo que buscas es tener dos instancias de sshd apuntando cada a su puerto y con su archivo de configuración correspondiente. Es lioso porque hay que cuidar de los scripts de inicio/ parada, PID de las dos instancias, etc... considera si no te resultaría más sencillo el bloqueo por iptables. Saludos, -- Camaleón
Re: Corosync y configuración segura de SSH
Hola Alfonso. El 19/06/16 a las 01:02, Alfonso escribió: Saludos: Estoy montando un cluster con dos nodos (cada uno de ellos con su IP pública y una IP privada, y por esta última es por donde se valida el estado del latido del cluster). Por requerimientos de Corosync debe estar abierto el puerto 22 de la otra máquina con acceso para root. De momento he puesto SSH a correr en dos puertos diferentes (22 y otro) y via iptables cerraré el 22 y solo lo permitiré para las IP's privadas de los nodos, pero existe alguna manera de poder configurar SSH de la siguiente manera: -Puerto 22: PermitRootLoguin yes - Otro puerto SSH: PermitRootLogin no AllowUsers user1 user2 ... El man sshd_config es muy claro. El parámetro PermitRootLogin controla el acceso con root sin importar por donde venga, mientras que el parámetro Port si puede contemplar la posibilidad de "escuchar" varios puertos a la vez. En otras palabras, o root entra o no entra, sin importar la vía. Muchas gracias. Saludos.
Corosync y configuración segura de SSH
Saludos: Estoy montando un cluster con dos nodos (cada uno de ellos con su IP pública y una IP privada, y por esta última es por donde se valida el estado del latido del cluster). Por requerimientos de Corosync debe estar abierto el puerto 22 de la otra máquina con acceso para root. De momento he puesto SSH a correr en dos puertos diferentes (22 y otro) y via iptables cerraré el 22 y solo lo permitiré para las IP's privadas de los nodos, pero existe alguna manera de poder configurar SSH de la siguiente manera: -Puerto 22: PermitRootLoguin yes - Otro puerto SSH: PermitRootLogin no AllowUsers user1 user2 ... Muchas gracias. -- Alfonsosignature.asc Description: OpenPGP digital signature