SSH User-Login hostbasiert erlauben
Hallo Liste, ich möchte dem openSSH der Suse 10 gern folgendes beibringen: Aus dem Internet darf sich lediglich *ein einziger* User mit nem PrivateKey anmelden, aus dem LAN (192.168.80.0/24) dürfen sich quasi alle User auch mit dem Passwort anmelden. Hat jemand eine Idee? Die Man-Pages und die Doku hab ich schon gelesen, aber um ehrlich zu sein steig ich da nicht so ganz durch... Gruß, Olly -- PM an public.o@la-familia-grande.de
Oliver Meißner-Knippschild schrieb:
Hallo Liste,
ich möchte dem openSSH der Suse 10 gern folgendes beibringen: Aus dem Internet darf sich lediglich *ein einziger* User mit nem PrivateKey anmelden, aus dem LAN (192.168.80.0/24) dürfen sich quasi alle User auch mit dem Passwort anmelden.
Hat jemand eine Idee? Die Man-Pages und die Doku hab ich schon gelesen, aber um ehrlich zu sein steig ich da nicht so ganz durch...
Gruß, Olly
Hallo Olly, bin nicht sicher, ob sich das mit einer einzigen Instanz des sshd realisieren lässt. Würde folgendes vorschlagen: Starte zwei Instanzen mit verschiedenen Konfigurationen auf verschiedenen Ports (am besten gleich auf den Standard-Port 22 verzichten). Den internen Port schirmst Du dann per Firewall ab bzw. lässt dort nur bestimmte Hosts zu (siehe manpage). Die entsprechenden Parameter für sshd (Port, conf-Datei,...) kannst Du Dir am einfachsten im rcsshd-Script abschauen. Viele Grüße, Felix
Hallo Felix,
On Sat, 06 May 2006 17:17:18 +0200
Felix Nawroth
bin nicht sicher, ob sich das mit einer einzigen Instanz des sshd realisieren lässt. Würde folgendes vorschlagen: Starte zwei Instanzen mit verschiedenen Konfigurationen auf verschiedenen Ports (am besten gleich auf den Standard-Port 22 verzichten). Den internen Port schirmst Du dann per Firewall ab bzw. lässt dort nur bestimmte Hosts zu (siehe manpage).
Die entsprechenden Parameter für sshd (Port, conf-Datei,...) kannst Du Dir am einfachsten im rcsshd-Script abschauen.
Ich habe das nun genau so gemacht... funktioniert super und ist absolut ohne Schwierigkeiten zu konfigurieren. Danke für den Denkansatz! Gruß, Olly -- PM an public.o@la-familia-grande.de
* Oliver Meißner-Knippschild schrieb:
ich möchte dem openSSH der Suse 10 gern folgendes beibringen: Aus dem Internet darf sich lediglich *ein einziger* User mit nem PrivateKey anmelden, aus dem LAN (192.168.80.0/24) dürfen sich quasi alle User auch mit dem Passwort anmelden.
geht so: _190 ssh nur bei ausgewählten Usern freigeben: sshd_config: AllowUsers *@192.168.0.* gerlach klee ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ /etc/sshd_config AllowUsers *@192.168.0.* *@192.168.100.* gerlach klee Es darf jeder von den internen Subnetzen 0.* und 100.* zugreifen und von Außerhalb nur gerlach und klee. _200 ssh -login sperren falls kein Schlüssel ausgetauscht: UsePAM yes, Pubkey.... yes, Passw.... no ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ /etc/ssh/sshd_config ==================== PubkeyAuthentication yes PasswordAuthentication no UsePAM yes Mit diesen Einstellungen ist dann nur noch ein ssh-Login bei ausgetauschten Schlüsseln möglich. Gruss Ekkard
Hallo Leute, Am Dienstag, 9. Mai 2006 15:46 schrieb Ekkard Gerlach:
/etc/ssh/sshd_config ==================== PubkeyAuthentication yes PasswordAuthentication no UsePAM yes
Mit diesen Einstellungen ist dann nur noch ein ssh-Login bei ausgetauschten Schlüsseln möglich.
Sicher? "UsePAM yes" erlaubt vermutlich doch noch die Anmeldung mit Passwort. Langform: 10.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben? http://suse-linux-faq.koehntopp.de/q/q-ssh-keyonly.html Gruß Christian Boltz --
Kommentiere [..] die Zeile [..] aus, indem Du ein Kanalgitter # davor setzt. Erzähl hier nix falsches! Das ist kein Kanalgitter, sondern ein Gartenzaun! [> Adalbert Michelic und Ratti in suse-linux]
participants (4)
-
Christian Boltz -
Ekkard Gerlach -
Felix Nawroth -
Oliver Meißner-Knippschild