Hallo Bernd,
ich muss einen Server für eine Projektgruppe per ssh zugänglich machen. Bestimmte User sollen sich von überall einloggen können, andere wiederum nur von unserem Intranet. Wie würdet Ihr das anpacken ? Mit Allowusers in sshd_config, oder ist PAM da besser ? Kenne mich nur leider nocht nicht mit PAM aus.
Du kannst auch für verschiedene Benutzergruppen eine eigene Konfiguration hinterlegen und du kannst sie sogar bei Bedarf in ihrem Home-Verzeichnis einsperren: # chown root:root /home/username Gruppe: users -> extern Gruppe: localusers -> intern Und evtl. würde ich an deiner Stelle überlegen, das Login komplett auf Basis der SSH-Keys aufzusetzen anstatt auf Passwortabfrage (über PAM). Diese Methode ist einfach sicherer. Jedoch müssen die Clients mit SSH-Keys umgehen können und der SSH-Schlüssel (wie auch im Reallife) muss man immer mitführen. (Putty, WinSCP & Co.). Tutorials zur Schlüsselgenerierung (RSA, DSA) gibt es im Internet wie Sand am Meer. Dann würde ich ein normalen User einrichten, worüber du dann später per su zu Rootrechten kommen kannst. Folgende Konfiguration in /etc/sshd_config schreiben bzw. ändern: PubkeyAuthentication yes PermitRootLogin no PasswordAuthentication no ChallengeResponseAuthentication no Match group users ChrootDirectory /home/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp Diese Konfiguration habe ich auf jedem meiner Desktop-, Netbook-Rechner und Server eingerichtet und ist ziemlich sicher. Weitere Infos zum Nachlesen: # man sshd_config # man ssh-keygen # man ssh-copy-id PS: Das wäre wieder eine nette Anleitung für meinen Blog. ;-) -- Gruß Sebastian - openSUSE Member (Freespacer) http://de.opensuse.org/Benutzer:Freespacer Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_mailing_list_netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org