Hallo Liste, ich versuche gerade sshd beizubringen, dass er nur von einem Client die Verbindung akzeptieren soll und auch nicht jedem einen Key anbieten soll, der sich auf den Rechner verirrt. Im Moment könnte von jedem Rechner aus eine ssh-Verbindung aufgebaut werden. Wie kann ich das Unterbinden? Die ListenAdress Option geh ja nur so lange, wie von festen IP Adressen aus gearbeitet wird. Bei einer Verbindung mittel z.B. A-DSL, ist das durch due IP Vergabe hinfällig. Gibt da einen kleinen schnellen Tipp ? Gruß Alex
Am 25.09.2002 um 06:36 schrieb Alexander Reuther:
ich versuche gerade sshd beizubringen, dass er nur von einem Client die Verbindung akzeptieren soll und auch nicht jedem einen Key anbieten soll, der sich auf den Rechner verirrt. Im Moment könnte von jedem Rechner aus eine ssh-Verbindung aufgebaut werden. Wie kann ich das Unterbinden?
Die ListenAdress Option geh ja nur so lange, wie von festen IP Adressen aus gearbeitet wird. Bei einer Verbindung mittel z.B. A-DSL, ist das durch due IP Vergabe hinfällig.
Gibt da einen kleinen schnellen Tipp ?
Hast du mal versucht, "ssh -i" mit dem inetd under Verwendung des tcpd zu starten? Dann kannst du in /etc/hosts.(allow|deny) Quelladressen angeben, von denen die Verbindungen akzeptiert oder eben nicht akzeptiert werden. Vielleicht ungefähr so in /etc/inetd.conf: ssh stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/sshd -i Genaues kannst du in inetd(8), tcpd(8) und hosts_access(5) finden. MfG, Dennis -- Dennis Stosberg eMail: dennis@stosberg.net gpg key: http://stosberg.net/dennis.asc icq: 63537718
*** Dennis Stosberg (stosberg@gmx.de) schrieb in suse-linux heute:
[...] Hast du mal versucht, "ssh -i" mit dem inetd under Verwendung des tcpd zu starten? Dann kannst du in /etc/hosts.(allow|deny) Quelladressen angeben, von denen die Verbindungen akzeptiert oder eben nicht akzeptiert werden.
Jo! %-) Dieses Vorgehen ist nicht umsonst "discouraged", noch dazu unnötig. See man -P "less +'/(Allow|Deny)(Groups|Users)'" sshd_config Außerdem verwendet der sshd selber schon die tcpwrapper-lib. Man braucht ihn also nicht erst über den inetd zu starten, um diese Regulierungs- möglichkeit zu bekommen!
[...]
MG Henning Hucke -- Die schnellere Routine ist immer die, die Du nicht aufrufst!
Hi On Wednesday 25 September 2002 06:36, Alexander Reuther wrote:
Hallo Liste,
ich versuche gerade sshd beizubringen, dass er nur von einem Client die Verbindung akzeptieren soll und auch nicht jedem einen Key anbieten soll, der sich auf den Rechner verirrt. Im Moment könnte von jedem Rechner aus eine ssh-Verbindung aufgebaut werden. Wie kann ich das Unterbinden?
Die ListenAdress Option geh ja nur so lange, wie von festen IP Adressen aus gearbeitet wird. Bei einer Verbindung mittel z.B. A-DSL, ist das durch due IP Vergabe hinfällig.
Ich glaube, das ist ein logisches Problem. Wenn du nur bestimmten clients aus einem großen pool von IP-Adressen erlauben willst sich einzuloggen, dann musst du die clients irgendwie identifizieren. Und was wäre da besser als ssh selbst :-) Die meisten andern Möglichkeiten einen client zu identifizieren sind viel unsicherer. Warum willst du das überhaupt? Laufen irgendwelche log-files über? Ich denke, dass die sicherste Methode sein wird ssh auf Protokoll 2 zu beschränken und die Passwort-Authentifizierung abzuschalten. mfg Axel
Hallo Axle
Die meisten andern Möglichkeiten einen client zu identifizieren sind viel unsicherer. Warum willst du das überhaupt? Laufen irgendwelche log-files über? Ich denke, dass die sicherste Methode sein wird ssh auf Protokoll 2 zu beschränken und die Passwort-Authentifizierung abzuschalten. Ich muss nicht unbedingt eine Anmeldung über IP machen (hatte ich so auch garnicht vor). Ich möchte einfach nur sicherstellen, dass nur ich hier von meinem Terminal auf den Server per ssh zugreifen kann. Niemand anderes sollte einen Zugriff oder die Möglichkeit eines Zugriffs haben. Es sollte nicht mal das Angebot für einen Key geben. Am besten das ganze so weit forcieren, das man dazu eine Disk mir dem Key hat und nur damit sich auf dem Server anmelden kann.
Gruß Alex
Hi On Wednesday 25 September 2002 12:29, Alexander Reuther wrote:
Ich muss nicht unbedingt eine Anmeldung über IP machen (hatte ich so auch garnicht vor). Ich möchte einfach nur sicherstellen, dass nur ich hier von meinem Terminal auf den Server per ssh zugreifen kann. Niemand anderes sollte einen Zugriff oder die Möglichkeit eines Zugriffs haben. Es sollte nicht mal das Angebot für einen Key geben. Am besten das ganze so weit forcieren, das man dazu eine Disk mir dem Key hat und nur damit sich auf dem Server anmelden kann.
Was du suchst ist wahrscheinlich der parameter "AllowUsers" in sshd_config. Da kannst du dann "user@host" angeben. Dann darf nur der User, wenn er an dem host mit dem entsprechenden hostkey sitzt, sich anmelden. Oder auch nur AllowUsers user". Wenn du dann noch "PasswordAuthentication no", "Protocol 2" und "PubkeyAuthentication yes" angibst, kannst du dich nur mit dem entsprechenden private-key anmelden. Den kannst du dann auf Diskette mitnehmen und dich dann mit ssh -2 -i /.../diskette/id_dsa anmelden. Was du mit "Es sollte nicht mal das Angebot für einen Key geben" meinst, weiß ich nicht ganz genau. Weder public noch private key werden bei der beschreibenen Authentifizierung übermittelt. mfg Axel
participants (4)
-
Alexander Reuther -
Axel Heinrici -
Dennis Stosberg -
Henning Hucke