ssh: remote root access nur aus ausgewählten Netzen.
Maximilian Wilhelm
max at rfc2324.org
Mon Jun 6 22:03:56 CEST 2011
Anno domini 2011 Cord Beermann scripsit:
Hi!
> Ich brauche mal jemanden zum Denken, oder Fehler finden.
> Ich möchte mich aus Backupgründen auf einen Linux-Server per ssh
> als root einloggen, aus security Gründen mchte ich das nur aus
> handverlesenen Netzen machen.
> Gleichzeitig möchte ich mich unbeschränkt als normaler User anmelden
> können.
> Authorisierungsfragen (key/password) lasse ich mal aussen vor.
> Beispiel:
> Backupserver (10.0.0.1) ---- ssh ---> root at SERVER (10.0.0.2) soll gehen.
> sonstiges (z.B. 192.168.0.1) --> ssh --> root at SERVER (10.0.0.2) nicht.
> gleichzeitig soll aber:
> Backupserver (10.0.0.1) ---- ssh ---> cord at SERVER (10.0.0.2) soll gehen.
> sonstiges (z.B. 192.168.0.1) --> ssh --> cord at SERVER (10.0.0.2) auch.
> alle Klarheiten beseitigt?
> ich habe also
> http://www.cyberciti.biz/tips/openssh-root-user-account-restriction-revisited.html
> ausgegraben, welches beschriebt wie man das mit PAM realisert.
[...]
Dazu hab ich jetzt keine Idee, ich täts aber auch anders lösen :)
Davon ausgehend, dass Du Keys zur Authentifikation benutzt (zumindest
zwingend für die Root-Logins, aber das würde man automatisiert IMO eh
nicht anders machen wollen) kannst Du die Restriktionen an die
Keys/den Key in der authorized_keys knoten.
from="10.0.0.*,1.2.3.5/29",no-agent-forwarding,no-port-forwarding,no-X11-forwarding <key bla fasel foo bar>
Ggf. kannst Du je nach Backuptools sogar noch 'nen 'command'
festtackern.
-> man sshd /AUTHORIZED_KEYS FILE FORMAT
HTH
Ciao
Max
--
Zensur im Internet? Nein danke!
More information about the Linux
mailing list