Re: ssh: remote root access nur aus ausgewählten Netzen.
Am Montag, 6. Juni 2011 schrieb Cord Beermann: Ich möchte mich aus Backupgründen auf einen Linux-Server per ssh als root einloggen, aus security Gründen mchte ich das nur aus handverlesenen Netzen machen. Hi, vielleicht hilft dir das weiter: Um den Zugang weiter einzuschränken, kann noch eine Prüfung der IP des Ausgangsrechners eingestellt werden. Dies erfolgt durch Einträge in den Dateien /etc/hosts.deny und hosts.allow. Dazu tragen wir in der /etc/hosts.deny des ... Servers ein: ALL : ALL So sind alle Zugriffe von allen IPs gesperrt. Jetzt öffnen wir den Zugang für bestimmte IPs. Dazu tragen wir in der /etc/hosts.allow z.B. ein: sshd: 127.0.0.1 sshd: 192.168.123.42 Damit wird erlaubt, den sshd (SSH-Daemon) von der lokalen Maschine selbst und von einem Rechner mit der IP 192.168.123.42 zu benutzen. Quelle: http://wiki.skolelinux.de/Woody/FreeNX -- Linux mailing list Linux@lug-owl.de subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
Re: ssh: remote root access nur aus ausgewählten Netzen.
Anno domini 2011 Cord Beermann scripsit: Hi! Ich brauche mal jemanden zum Denken, oder Fehler finden. Ich möchte mich aus Backupgründen auf einen Linux-Server per ssh als root einloggen, aus security Gründen mchte ich das nur aus handverlesenen Netzen machen. Gleichzeitig möchte ich mich unbeschränkt als normaler User anmelden können. Authorisierungsfragen (key/password) lasse ich mal aussen vor. Beispiel: Backupserver (10.0.0.1) ssh --- root@SERVER (10.0.0.2) soll gehen. sonstiges (z.B. 192.168.0.1) -- ssh -- root@SERVER (10.0.0.2) nicht. gleichzeitig soll aber: Backupserver (10.0.0.1) ssh --- cord@SERVER (10.0.0.2) soll gehen. sonstiges (z.B. 192.168.0.1) -- ssh -- cord@SERVER (10.0.0.2) auch. alle Klarheiten beseitigt? ich habe also http://www.cyberciti.biz/tips/openssh-root-user-account-restriction-revisited.html ausgegraben, welches beschriebt wie man das mit PAM realisert. [...] Dazu hab ich jetzt keine Idee, ich täts aber auch anders lösen :) Davon ausgehend, dass Du Keys zur Authentifikation benutzt (zumindest zwingend für die Root-Logins, aber das würde man automatisiert IMO eh nicht anders machen wollen) kannst Du die Restriktionen an die Keys/den Key in der authorized_keys knoten. from=10.0.0.*,1.2.3.5/29,no-agent-forwarding,no-port-forwarding,no-X11-forwarding key bla fasel foo bar Ggf. kannst Du je nach Backuptools sogar noch 'nen 'command' festtackern. - man sshd /AUTHORIZED_KEYS FILE FORMAT HTH Ciao Max -- Zensur im Internet? Nein danke! -- Linux mailing list Linux@lug-owl.de subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
Re: ssh: remote root access nur aus ausgewählten Netzen.
Hallo! Du (Maximilian Wilhelm) hast geschrieben: Dazu hab ich jetzt keine Idee, ich täts aber auch anders lösen :) Davon ausgehend, dass Du Keys zur Authentifikation benutzt (zumindest zwingend für die Root-Logins, aber das würde man automatisiert IMO eh nicht anders machen wollen) kannst Du die Restriktionen an die Keys/den Key in der authorized_keys knoten. from=10.0.0.*,1.2.3.5/29,no-agent-forwarding,no-port-forwarding,no-X11-forwarding key bla fasel foo bar Ggf. kannst Du je nach Backuptools sogar noch 'nen 'command' festtackern. ja. keyauthorisierung muss ich zwecks automatisierung eh machen. Ziel in diesem Umfeld muss aber auch sein, das Passwort-Authorisierung für normale User weiterhin möglich ist, während Passwortauthorisierung per ssh für 'root' unterbunden ist. (an der Console sollte das Passwort dagegen noch gehen). Ich denke das ist mit dem Beispiel oben noch nicht erreicht!? Cord -- Linux mailing list Linux@lug-owl.de subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
Re: ssh: remote root access nur aus ausgewählten Netzen.
Hi, On Mon, Jun 06, 2011 at 10:28:35PM +0200, Cord Beermann wrote: Ziel in diesem Umfeld muss aber auch sein, das Passwort-Authorisierung für normale User weiterhin möglich ist, während Passwortauthorisierung per ssh für 'root' unterbunden ist. (an der Console sollte das Passwort dagegen noch gehen). fuer den Client gebe ich oft PreferredAuthentications an. Das Aequivalent fuer den sshd faellt mir gerade nicht ein, aber das steht ja meist in der sshd.conf. :-) Auf einigen Kisten habe ich einen zweiten sshd supervised laufen, bei dem ich einige Einstellungen aus der sshd.conf ueberschreibe (siehe http://www.tuxad.de/blog/articles/notfall-sshd_oom-resistent) - da kann man bei Belieben auch nice und oom_adj anpassen. Und der access.conf geht das bei mir mit + : root : 192.168.1.1 - : root : ALL Mir Tipps fallen mir spontan auch nicht ein. Frank -- EDV Frank Bergmann Tel. 05221-9249753 LPIC-3 Linux ProfessionalFax 05221-9249754 Elverdisser Str. 25 emailiserv...@tuxad.com 32052 HerfordUSt-IdNr DE237314606 -- Linux mailing list Linux@lug-owl.de subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
Re: ssh: remote root access nur aus ausgewählten Netzen.
Anno domini 2011 Cord Beermann scripsit: Moin! Dazu hab ich jetzt keine Idee, ich täts aber auch anders lösen :) Davon ausgehend, dass Du Keys zur Authentifikation benutzt (zumindest zwingend für die Root-Logins, aber das würde man automatisiert IMO eh nicht anders machen wollen) kannst Du die Restriktionen an die Keys/den Key in der authorized_keys knoten. from=10.0.0.*,1.2.3.5/29,no-agent-forwarding,no-port-forwarding,no-X11-forwarding key bla fasel foo bar Ggf. kannst Du je nach Backuptools sogar noch 'nen 'command' festtackern. ja. keyauthorisierung muss ich zwecks automatisierung eh machen. Ziel in diesem Umfeld muss aber auch sein, das Passwort-Authorisierung für normale User weiterhin möglich ist, während Passwortauthorisierung per ssh für 'root' unterbunden ist. (an der Console sollte das Passwort dagegen noch gehen). Ich denke das ist mit dem Beispiel oben noch nicht erreicht!? Noch nicht ganz, geht aber mit einem Handgriff mehr, den ich implizit als Standard-Server-Setting unterstellt hatte :) man sshd_config /PermitRootLogin If this option is set to “without-password”, password authentication is disabled for root. Mit der Kombi müsste das IMO alles erfüllen, was Du willst. Ciao Max -- @uschebit Aua. Wenn man sich die Rechte einer Datei anzeigen lassen will und (analog zu chmod) dazu lsmod nimmt, sollte man sich ganz schnell als root ausloggen und einen Kaffee holen. @KrisK eben. wo es doch getfacl ist -- Linux mailing list Linux@lug-owl.de subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo