Hallo Liste, ich habe einen Server der per SSH nur von EINER Ip adresse aus erreichbar sein soll. Wo kann ich das einstellen? Danke, Bye Stefan
Hallo. Am Freitag, 15. Februar 2002 12:10 schrieb Stefan Eggert:
Hallo Liste,
ich habe einen Server der per SSH nur von EINER Ip adresse aus erreichbar sein soll. Wo kann ich das einstellen? /etc/ssh/sshd_config ListenAddress 192.168.1.1
-- Joachim Franek Ernst-Reuter-Str. 8, 63486 Bruchkoebel www.de-franek.de rs485.de-franek.de
Stefan Eggert schrieb am Fri, Feb 15, 2002 at 12:10:19PM +0100:
ich habe einen Server der per SSH nur von EINER Ip adresse aus erreichbar sein soll. Wo kann ich das einstellen?
Schau mal in /etc nach. Dort solltest Du auch eine Datei namens sshd_conf finden. Gleich zu Beginn gibt es eine Zeile Listen 0.0.0.0 Anstelle der vier Nullen trägst Du einfach die jeweilige IP-Adresse ein, startest den sshd neu und überzeugst Dich mit einem netstat -ln vom Ergebnis. hth, Christian -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!
On Fri, Feb 15, 2002 at 12:10:19PM +0100, Stefan Eggert wrote:
ich habe einen Server der per SSH nur von EINER Ip adresse aus erreichbar sein soll. Wo kann ich das einstellen?
Haengt davon ab, welche SSH-Version du einsetzt. Bei OpenSSH wirst du mit /etc/hosts.allow arbeiten muessen, bei SSH steht in der sshd manpage der Configparameter AllowHosts, den du in /etc/sshd_config eintragen musst. Ansonsten die Firewall richtig konfigurieren. Peter
Hallo Stefan, On Fri, 15 Feb 2002, Stefan Eggert wrote:
ich habe einen Server der per SSH nur von EINER Ip adresse aus erreichbar sein soll. Wo kann ich das einstellen?
...am besten in /etc/hosts.allow sshd : user@domain vorher aber erst in der /etc/hosts.deny grundsaetzlich mal verbieten: sshd : ALL see man 5 hosts_access Gerhard
Habe ich auch Probiert, aber Masquering spielt da nicht so ganz mit. Habe es jetzt gelöst mit dem hosts.allow sshd : 192.168.1.1 hosts.deny sshd : ALL Klappt auch so. Danke an alle Bye Stefan Eggert schrieb:
Hallo Liste,
ich habe einen Server der per SSH nur von EINER Ip adresse aus erreichbar sein soll. Wo kann ich das einstellen?
Danke, Bye Stefan
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi Stefan, On 15 Feb 2002 at 12:10, Stefan Eggert wrote:
ich habe einen Server der per SSH nur von EINER Ip adresse aus erreichbar sein soll. Wo kann ich das einstellen?
SSH1, SSH2 oder OpenSSH? Entgegen anders lautenden Antworten hat der Parameter 'ListenAddress' nichts mit IP-Adressen von anderen Systemen zu tun. Es handelt sich hierbei lediglich um die Netzwerkinterfaces an die der Dienst gebunden werden soll. Wenn Du den Zugriff auf ein IP beschränken möchtest, gäbe es folgende Möglichkeiten: 1.) AllowUsers fred@fanta.foo.de oder AllowUsers fred@192.168.1.1 fred steht hierbei für den lokalen (auf dem ssh-Server) Account fred. Das '@' ist nur ein Trennzeichen und hat nichts mit einer eMail-Adresse zu tun. 'fanta.foo.de' oder '192.168.1.1' sind die Maschienen von denen aus eine Anmeldung erlaubt werden soll. Natürlich ist es Dir auch möglich nur eine Überprüfung der kontaktierenden hosts vorzunehmen. 2.) AllowHosts *@192.168.1.1 Bei ssh2 können übrigens vollständige reguläre Ausdrücke verwendet werden. 3.) Die Verwendung von /etc/shosts.equiv, oder /etc/hosts.equiv. Funktioniert analog zu den rhosts-Dateien: AllowSHosts fanta.foo.de AllowSHosts 192.168.1.1 Es sollte Dir bewusst sein, dass Du damit die Sicherheit nur wenig erhöhst. IP-Adressen können relativ einfach gefaked werden, host- Adressen können durch einfache Manipulation des DNS gefaked werden. Daher sollten die vorgenannten Einschränkungen nur als ergänzende Massnahmen betrachtet werden. Du solltest eher auf eine starke Authentifizierung (public key) achten. Achja, Du hast auch die Möglichkeit, die host-keys als Kriterium heranzuziehen (~/.ssh2/known_hosts). mit freundlichen Grüßen Jörg Zimmermann -- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
participants (6)
-
Christian Schmidt
-
Gerhard Schwan
-
Joachim.Franek@t-online.de
-
Jörg Zimmermann
-
Peter Wiersig
-
Stefan Eggert