ssh-login einschränken
Hallo ML, ich muss einen Server für eine Projektgruppe per ssh zugänglich machen. Bestimmte User sollen sich von überall einloggen können, andere wiederum nur von unserem Intranet. Wie würdet Ihr das anpacken ? Mit Allowusers in sshd_config, oder ist PAM da besser ? Kenne mich nur leider nocht nicht mit PAM aus. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de 089 3187 1241 http://www.helmholtz-muenchen.de/idg Success is the sum of small efforts, repeated day in and day out. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag, 7. März 2010 16:15:46 schrieb Lentes, Bernd:
Hallo ML,
ich muss einen Server für eine Projektgruppe per ssh zugänglich machen. Bestimmte User sollen sich von überall einloggen können, andere wiederum nur von unserem Intranet. Wie würdet Ihr das anpacken ? Mit Allowusers in sshd_config, oder ist PAM da besser ? Kenne mich nur leider nocht nicht mit PAM aus.
ich habe 2 sshd's auf unterschiedlichen Ports am laufen. Nur einer von beiden hört auf Verbindungen aus dem Internet, der andere nur auf lokale. Im "externen" darf man sich nur mit Schlüsseldatei anmelden, root darf sich nicht anmelden, und eben nur bestimmte Leute (allow-users). Auf dem "internen" ist "alles" erlaubt. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprueft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
Hallo Bernd,
ich muss einen Server für eine Projektgruppe per ssh zugänglich machen. Bestimmte User sollen sich von überall einloggen können, andere wiederum nur von unserem Intranet. Wie würdet Ihr das anpacken ? Mit Allowusers in sshd_config, oder ist PAM da besser ? Kenne mich nur leider nocht nicht mit PAM aus.
Du kannst auch für verschiedene Benutzergruppen eine eigene Konfiguration hinterlegen und du kannst sie sogar bei Bedarf in ihrem Home-Verzeichnis einsperren: # chown root:root /home/username Gruppe: users -> extern Gruppe: localusers -> intern Und evtl. würde ich an deiner Stelle überlegen, das Login komplett auf Basis der SSH-Keys aufzusetzen anstatt auf Passwortabfrage (über PAM). Diese Methode ist einfach sicherer. Jedoch müssen die Clients mit SSH-Keys umgehen können und der SSH-Schlüssel (wie auch im Reallife) muss man immer mitführen. (Putty, WinSCP & Co.). Tutorials zur Schlüsselgenerierung (RSA, DSA) gibt es im Internet wie Sand am Meer. Dann würde ich ein normalen User einrichten, worüber du dann später per su zu Rootrechten kommen kannst. Folgende Konfiguration in /etc/sshd_config schreiben bzw. ändern: PubkeyAuthentication yes PermitRootLogin no PasswordAuthentication no ChallengeResponseAuthentication no Match group users ChrootDirectory /home/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp Diese Konfiguration habe ich auf jedem meiner Desktop-, Netbook-Rechner und Server eingerichtet und ist ziemlich sicher. Weitere Infos zum Nachlesen: # man sshd_config # man ssh-keygen # man ssh-copy-id PS: Das wäre wieder eine nette Anleitung für meinen Blog. ;-) -- Gruß Sebastian - openSUSE Member (Freespacer) http://de.opensuse.org/Benutzer:Freespacer Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_mailing_list_netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sebastian Siebert schrieb:
Hallo Bernd,
Du kannst auch für verschiedene Benutzergruppen eine eigene Konfiguration hinterlegen und du kannst sie sogar bei Bedarf in ihrem Home-Verzeichnis einsperren: # chown root:root /home/username
Gruppe: users -> extern Gruppe: localusers -> intern
Und evtl. würde ich an deiner Stelle überlegen, das Login komplett auf Basis der SSH-Keys aufzusetzen anstatt auf Passwortabfrage (über PAM). Diese Methode ist einfach sicherer. Jedoch müssen die Clients mit SSH-Keys umgehen können und der SSH-Schlüssel (wie auch im Reallife) muss man immer mitführen. (Putty, WinSCP & Co.). Tutorials zur Schlüsselgenerierung (RSA, DSA) gibt es im Internet wie Sand am Meer.
Genau das mach ich ja. Die meisten User sollen und werden sich auch mit einem key anmelden. Zwei User allerdings (interne Entwickler) wollen sich zusätzlich allerdings per NX anmelden. NX unterstützt kein Anmelden mit key. Also müssen die sich mit Passwort anmelden. Und genau diese beiden sollen sich dann nur aus dem Intranet anmelden können. Ich dachte daher an was wie : AllowUsers entwickler1@intranet entwickler2@intranet andereruserüberall andereruser2@überall ... Geht sowas ? Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bernd,
Genau das mach ich ja. Die meisten User sollen und werden sich auch mit einem key anmelden. Zwei User allerdings (interne Entwickler) wollen sich zusätzlich allerdings per NX anmelden. NX unterstützt kein Anmelden mit key. Also müssen die sich mit Passwort anmelden. Und genau diese beiden sollen sich dann nur aus dem Intranet anmelden können. Ich dachte daher an was wie :
AllowUsers entwickler1@intranet entwickler2@intranet andereruserüberall andereruser2@überall ...
Geht sowas ?
Dann eher folgendes in /etc/ssh/sshd_config: match host intranet PasswordAuthentication yes Schau am besten in den Manuals nach: # man sshd_config -- Gruß Sebastian - openSUSE Member (Freespacer) http://de.opensuse.org/Benutzer:Freespacer Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_mailing_list_netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Dann eher folgendes in /etc/ssh/sshd_config: match host intranet PasswordAuthentication yes
Schau am besten in den Manuals nach: # man sshd_config
Hab ich gemacht. Ich finde da nix von match host. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 07.03.2010 19:36, schrieb Lentes, Bernd:
Dann eher folgendes in /etc/ssh/sshd_config: match host intranet PasswordAuthentication yes
Schau am besten in den Manuals nach: # man sshd_config
Hab ich gemacht. Ich finde da nix von match host.
*Match* ist hier das Schlüsselwort in Kombination weiterer Schlüsselwörter wie User, Group, Host und Address. Auszug aus der Manpage: *Match* Introduces a conditional block. If all of the criteria on the Match line are satisfied, the keywords on the following lines override those set in the global section of the config file, until either another Match line or the end of the file. The arguments to Match are one or more criteria-pattern pairs. The available criteria are *User*, *Group*, *Host*, and *Address*. The match patterns may consist of single entries or comma-separated lists and may use the wildcard and negation operators described in the PATTERNS section of ssh_config(5). The patterns in an Address criteria may additionally contain addresses to match in CIDR address/masklen format, e.g. ``192.0.2.0/24'' or ``3ffe:ffff::/32''. Note that the mask length provided must be consistent with the address - it is an error to specify a mask length that is too long for the address or one with bits set in this host portion of the address. For example, ``192.0.2.0/33'' and ``192.0.2.0/8'' respectively. Only a subset of keywords may be used on the lines following a Match keyword. Available keywords are AllowAgentForwarding, AllowTcpForwarding, Banner, ChrootDirectory, ForceCommand, GatewayPorts, GSSAPIAuthentication, HostbasedAuthentication, KbdInteractiveAuthentication, KerberosAuthentication, MaxAuthTries, MaxSessions, PasswordAuthentication, PermitEmptyPasswords, PermitOpen, PermitRootLogin, RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset, X11Forwarding and X11UseLocalHost. -- Gruß Sebastian - openSUSE Member (Freespacer) http://de.opensuse.org/Benutzer:Freespacer Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_mailing_list_netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sebastian Siebert schrieb:
*Match*
Introduces a conditional block. If all of the criteria on the Match line are satisfied, the keywords on the following lines override those set in the global section of the config file, until either another Match line or the end of the file.
The arguments to Match are one or more criteria-pattern pairs. The available criteria are *User*, *Group*, *Host*, and *Address*. The match patterns may consist of single entries or comma-separated lists and may use the wildcard and negation operators described in the PATTERNS section of ssh_config(5).
The patterns in an Address criteria may additionally contain addresses to match in CIDR address/masklen format, e.g. ``192.0.2.0/24'' or ``3ffe:ffff::/32''. Note that the mask length provided must be consistent with the address - it is an error to specify a mask length that is too long for the address or one with bits set in this host portion of the address. For example, ``192.0.2.0/33'' and ``192.0.2.0/8'' respectively.
Only a subset of keywords may be used on the lines following a Match keyword. Available keywords are AllowAgentForwarding, AllowTcpForwarding, Banner, ChrootDirectory, ForceCommand, GatewayPorts, GSSAPIAuthentication, HostbasedAuthentication, KbdInteractiveAuthentication, KerberosAuthentication, MaxAuthTries, MaxSessions, PasswordAuthentication, PermitEmptyPasswords, PermitOpen, PermitRootLogin, RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset, X11Forwarding and X11UseLocalHost.
--
Hallo Sebastian, ich finde diesen Abschnitt weder in man ssh_config noch in man sshd_config. Wo hast Du den denn her ? Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd wrote:
Sebastian Siebert schrieb:
*Match*
Introduces a conditional block. If all of the criteria on the Match line are satisfied, the keywords on the following lines override those set in the global section of the config file, until either another Match line or the end of the file.
[...]
ich finde diesen Abschnitt weder in man ssh_config noch in man sshd_config. Wo hast Du den denn her ?
Das ist bei mir auch in "man sshd_config" zu finden. Installiert ist hier openssh, Version 5.2p1, Release 9.1 (openSUSE 11.2) Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andreas Kyek schrieb:
ich finde diesen Abschnitt weder in man ssh_config noch in man sshd_config. Wo hast Du den denn her ?
Das ist bei mir auch in "man sshd_config" zu finden.
Installiert ist hier openssh, Version 5.2p1, Release 9.1 (openSUSE 11.2)
Ich habe noch 'mal geguckt. Dieser Abschnitt ist bei mir nicht da ! Ich habe openssh-4.2p1-18.40.35 auf einem SLES10. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo allerseits, Hallo Bernd,
Wo hast Du den denn her ?
Das ist bei mir auch in "man sshd_config" zu finden.
Installiert ist hier openssh, Version 5.2p1, Release 9.1 (openSUSE 11.2)
Ich habe noch 'mal geguckt. Dieser Abschnitt ist bei mir nicht da ! Ich habe openssh-4.2p1-18.40.35 auf einem SLES10.
SLES10? Hier bist du eigentlich in der falschen Abteilung würde ich sagen. :-) Lösung: - openssh 5.2 lokal bauen oder - openssh 5.2 im OBS für SLES10 bauen -- Gruß Sebastian - openSUSE Member (Freespacer) http://de.opensuse.org/Benutzer:Freespacer Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_mailing_list_netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sebastian Siebert schrieb:
Lösung: - openssh 5.2 lokal bauen oder - openssh 5.2 im OBS für SLES10 bauen
Hallo, die match-Direktive wurde erst in Openssh 4.4 eingeführt. Da kann ich natürlich lange in meinen manpages rumsuchen. Siehe: http://marc.info/?l=openssh-unix-dev&m=115939141729160&w=2 Mal gucken, ob ich im OBS fündig werde. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bernd,
Lösung: - openssh 5.2 lokal bauen oder - openssh 5.2 im OBS für SLES10 bauen
die match-Direktive wurde erst in Openssh 4.4 eingeführt. Da kann ich natürlich lange in meinen manpages rumsuchen. Siehe: http://marc.info/?l=openssh-unix-dev&m=115939141729160&w=2 Mal gucken, ob ich im OBS fündig werde.
stop, stop, stop... Wenn du wirklich die Option ChrootDirectory in OpenSSH verwenden möchtest, dann benötigst du IIRC mindestens OpenSSH 4.8. Aber da du dir um den Eigenbau von OpenSSH nicht rum kommst, würde ich an deiner Stelle das neueste OpenSSH nehmen. Also, würde ich ggfs. OpenSSH 5.4p1 empfehlen, weil darin auch sämtliche sicherheitsrelevante Patches eingepflegt wurden, die in älteren Versionen nicht vorhanden sind. Sonst reißt du dir beim SLES10 ein Sicherheitsloch auf und das wollen wir ja vermeiden. -- Gruß Sebastian - openSUSE Member (Freespacer) http://de.opensuse.org/Benutzer:Freespacer Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_mailing_list_netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sebastian Siebert schrieb:
stop, stop, stop...
Wenn du wirklich die Option ChrootDirectory in OpenSSH verwenden möchtest, dann benötigst du IIRC mindestens OpenSSH 4.8.
Aber da du dir um den Eigenbau von OpenSSH nicht rum kommst, würde ich an deiner Stelle das neueste OpenSSH nehmen. Also, würde ich ggfs. OpenSSH 5.4p1 empfehlen, weil darin auch sämtliche sicherheitsrelevante Patches eingepflegt wurden, die in älteren Versionen nicht vorhanden sind. Sonst reißt du dir beim SLES10 ein Sicherheitsloch auf und das wollen wir ja vermeiden.
Chroot möchte ich nicht. Mir geht's darum, das man sich aus dem Intranet mit Passwort anmelden kann, und aus dem Internet nur mit Schlüsseln. Im OBS habe ich openssh 5.1 runtergeladen. Aber bzgl. der patches hast Du wohl recht. Meine alte 4.2 hatte zumindest den Vorteil, daß sie von Novell noch mit Patches versorgt wird (ziemlich lange, glaube ich sogar). Und patches für einen Dienst der von außen erreichbar ist, sind sicher sinnvoll. Wenn ich auf die ganz neue 5.4 gehe, bin ich aktuell wohl sicher. Aber früh oder später werden da auch Löcher gefunden. Die 5.4 wird mir aber von Novell nicht supported. Da bleibe ich doch lieber bei meiner 4.2, die noch supported wird. Schade nur, daß ich dann nicht mit Match arbeiten kann, das sah ziemlich einfach und auch mächtig aus. Muss ich wohl zwei sshd's laufen lassen, auf unterschiedlichen Ports und Konfigurationen, einen von aussen erreichbar. Weißt Du, wie man sowas macht ? Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 08.03.2010, Lentes, Bernd wrote:
Mir geht's darum, das man sich aus dem Intranet mit Passwort anmelden kann, und aus dem Internet nur mit Schlüsseln.
Da habe ich eine Frage: warum willst du ssh benutzen fuer eine reine Intranet-Verbindung? Hat das spezielle Gruende, die ich nicht sehen kann, weil ich das Netzwerk nicht kenne, oder warum sollten sich deine Intranet-Nutzer nicht einfach per Username/Passwort direkt und unverschluesselt auf der Konsole anmelden koennen? -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Heinz, Heinz Diehl schrieb:
oder warum sollten sich deine Intranet-Nutzer nicht einfach per Username/Passwort direkt und unverschluesselt auf der Konsole anmelden koennen?
Meinst Du einen Login per telnet?? Sorry, aber selbst für ein Intranet ist das völlig inakzeptabel. -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 08.03.2010, Axel Birndt wrote:
Meinst Du einen Login per telnet??
Ja, z.B.
Sorry, aber selbst für ein Intranet ist das völlig inakzeptabel.
Ok, wenn es fuer dein Vorhaben nicht akzeptabel ist, dann hat sich das erledigt. Ich habe mich nur gefragt _warum_ , da ich deine Praemissen und v.a. dein Netzwerk nicht kenne. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Diehl schrieb: Lentes, Bernd wrote:
Mir geht's darum, das man sich aus dem Intranet mit Passwort anmelden kann, und aus dem Internet nur mit Schlüsseln.
Da habe ich eine Frage: warum willst du ssh benutzen fuer eine reine Intranet-Verbindung? Hat das spezielle Gruende, die ich nicht sehen kann, weil ich das Netzwerk nicht kenne, oder warum sollten sich deine Intranet-Nutzer nicht einfach per Username/Passwort direkt und unverschluesselt auf der Konsole anmelden koennen?
Weil es im Serverraum laut und eng ist, und sich u.U. mehrere gleichzeitig anmelden. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd schrieb:
Sebastian Siebert schrieb:
Chroot möchte ich nicht. Mir geht's darum, das man sich aus dem Intranet mit Passwort anmelden kann, und aus dem Internet nur mit Schlüsseln. Im OBS habe ich openssh 5.1 runtergeladen. Aber bzgl. der patches hast Du wohl recht. Meine alte 4.2 hatte zumindest den Vorteil, daß sie von Novell noch mit Patches versorgt wird (ziemlich lange, glaube ich sogar). Und patches für einen Dienst der von außen erreichbar ist, sind sicher sinnvoll. Wenn ich auf die ganz neue 5.4 gehe, bin ich aktuell wohl sicher. Aber früh oder später werden da auch Löcher gefunden. Die 5.4 wird mir aber von Novell nicht supported. Da bleibe ich doch lieber bei meiner 4.2, die noch supported wird. Schade nur, daß ich dann nicht mit Match arbeiten kann, das sah ziemlich einfach und auch mächtig aus. Muss ich wohl zwei sshd's laufen lassen, auf unterschiedlichen Ports und Konfigurationen, einen von aussen erreichbar. Weißt Du, wie man sowas macht ?
Hallo Bernd, Du könntest, wenn Du 2 Interfaces in Deiner Maschine hast 2 verschiedene SSH-Konfigurationen aufsetzen. das eine Interface hört auf Ip aaa.aaa.aaa.aaa und ist aus dem Internet erreichbar das andere hört auf bbb.bbb.bbb.bbb in ist nur aus dem Intranet erreichbar... Oder Du läßt 2 SSH-Daemons auf verschiedenen Ports 22/2222 hören und machst via Portmapping den auf 2222 hörenden SSHD in Internet unter Port 22 verfügbar... -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Axel Birndt schrieb:
Hallo Bernd,
Du könntest, wenn Du 2 Interfaces in Deiner Maschine hast 2 verschiedene SSH-Konfigurationen aufsetzen.
das eine Interface hört auf Ip aaa.aaa.aaa.aaa und ist aus dem Internet erreichbar
das andere hört auf bbb.bbb.bbb.bbb in ist nur aus dem Intranet erreichbar...
Oder Du läßt 2 SSH-Daemons auf verschiedenen Ports 22/2222 hören und machst via Portmapping den auf 2222 hörenden SSHD in Internet unter Port 22 verfügbar...
Das habe ich mir auch gedacht. Wie mache ich das genau ? Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bernd, Lentes, Bernd schrieb:
Axel Birndt schrieb:
Hallo Bernd,
Du könntest, wenn Du 2 Interfaces in Deiner Maschine hast 2 verschiedene SSH-Konfigurationen aufsetzen. ... Oder Du läßt 2 SSH-Daemons auf verschiedenen Ports 22/2222 hören und machst via Portmapping den auf 2222 hörenden SSHD in Internet unter Port 22 verfügbar...
Das habe ich mir auch gedacht. Wie mache ich das genau ?
ich denke google gibt Dir die Antwort... http://forum.ubuntuusers.de/topic/2-unhabhaengige-ssh-server-geht-das/ .... http://www.google.de/#hl=de&source=hp&q=sshd+mit+2+konfigurationen&btnG=Google-Suche&meta=&aq=f&oq=sshd+mit+2+konfigurationen&fp=52f5fb6826b31914 -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Axel Birndt schrieb:
Hallo Bernd,
Lentes, Bernd schrieb:
Axel Birndt schrieb:
Hallo Bernd,
Du könntest, wenn Du 2 Interfaces in Deiner Maschine hast 2 verschiedene SSH-Konfigurationen aufsetzen. ... Oder Du läßt 2 SSH-Daemons auf verschiedenen Ports 22/2222 hören und machst via Portmapping den auf 2222 hörenden SSHD in Internet unter Port 22 verfügbar...
Das habe ich mir auch gedacht. Wie mache ich das genau ?
ich denke google gibt Dir die Antwort...
http://forum.ubuntuusers.de/topic/2-unhabhaengige-ssh-server-geht-das/
Hab jetzt zwei sshd's laufen, war gar nicht so schwer. Geholfen hat auch noch: http://www.infosecprojects.net/linuxtutorials/zwei-sshd.html Ich habe den Parameter "-f config_file" allerdings direkt in den Aufruf von sshd eingebaut. Danke für alle Tipps. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 09.03.2010, Lentes, Bernd wrote:
Das habe ich mir auch gedacht. Wie mache ich das genau ?
Aus dem Kopf, bitte testen (und die "x" entsprechend ergaenzen bzw. die Adressen anpassen): iptables -t nat -A PREROUTING -p tcp -i ethx -d x.x.x.x --dport 2222 -j DNAT --to 192.168.0.1:22 iptables -A FORWARD -p tcp -i ethx -d 192.168.0.1 --dport 22 -j ACCEPT -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
Axel Birndt
-
Dr. Jürgen Vollmer
-
Heinz Diehl
-
Kyek, Andreas, VF-DE
-
Lentes, Bernd
-
Sebastian Siebert