PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH: nur bestimmte Benutzer zulassen.



usr
04.11.03, 16:19
Hi,
ich kann ja via die Option "AllowUsers" einrichten, dass sich nur bestimmte Benutzer anmelden können. Das klappt auch so weit. Die Benutzer könne sich auch via Internet einloggen. Allerdings will ich jetzt, dass sich nur 2 der insgesamt 3 "AllowUsers" über das Internet einloggen können.
Kann ich das so einrichten oder geht nur Lan+Inet? Danke.

linuxhanz
04.11.03, 18:11
!user ?

nur so eine Idee.

Thomas
04.11.03, 18:39
@ linuxhanz: Mal gelesen was die Frage war? :D

@ usr: Mir wäre keine Option bekannt, um dies direkt in der SSHD-Konfiguration festzulegen.


Thomas.

Thomas
04.11.03, 18:55
KORREKTUR:

Es ist möglich!

In der sshd_config unter AllowUsers musst du Einträge der Form USER@HOST machen. Bei den Usern, die sich von überall einloggen dürfen, lässt du den Eintag wie bisher, also nur USER.


Thomas.

usr
04.11.03, 20:13
Danke! Ich werds morgen gleich mal testen.

msi
04.11.03, 20:22
Original geschrieben von TThomas
KORREKTUR:

Es ist möglich!

In der sshd_config unter AllowUsers musst du Einträge der Form USER@HOST machen. Bei den Usern, die sich von überall einloggen dürfen, lässt du den Eintag wie bisher, also nur USER.


Thomas.

und wie machst dus bei deinen die sich von eth0 bzw von 192.168.0.0/24 einloggen dürfen?

HangLoose
04.11.03, 20:36
moin moin


Original geschrieben von TThomas
KORREKTUR:

Es ist möglich!

In der sshd_config unter AllowUsers musst du Einträge der Form USER@HOST machen. Bei den Usern, die sich von überall einloggen dürfen, lässt du den Eintag wie bisher, also nur USER.


Thomas.

mit dynamischer ip dürfte es schwer werden. wenn die ip's feststehen würde ich das ganze lieber iptables regeln lassen.


Gruß HL

usr
04.11.03, 20:38
HangLoose,
hab leider nur ne dynamische IP. Kannste dir mein Skript im anderen thread noch angucken? Vielleicht haste ne Idee.

HangLoose
04.11.03, 20:46
Original geschrieben von usr
HangLoose,
hab leider nur ne dynamische IP. Kannste dir mein Skript im anderen thread noch angucken? Vielleicht haste ne Idee.


kannste das teil mal als .txt anhängen. safari öffnet das sonst nicht.

usr
04.11.03, 21:05
Klasse, ich kann den Anhang nicht noch mal uploaden. Kannst mir ja ne mail schicken. Dann kann ich dir das Teil auch mailen.

HangLoose
04.11.03, 21:49
hier kommt nichts an

usr
04.11.03, 21:53
Habs gerade noch mal verschickt. Sehr seltsam.

Thomas
04.11.03, 23:22
Ich bin jetzt mal von einem "normalen" kleinen privaten Netz mit festen IPs ausgegangen.

Da man nur die lokale IP freigeben muss, um die dynamische öffentliche IP zu sperren, reicht also diese Möglichkeit aus.

Im Übrigen: Lieber am Service und in IPTables sperren, also überall. Aber am Service auf jeden Fall, das ist schließlich die letzte Instanz, dort zeigt die Regel Wirkung, auch wenn die Firewall umgangen worden ist.

HangLoose
04.11.03, 23:46
moin

möglich das ich mal wieder haarscharf an der *aufgabenstellung* vorbei geschlittert bin ;).

ich habe usr so verstanden, das von den 3 usern die sich auf dem rechner per ssh einloggen dürfen, 2 en gestattet werden soll sich auch vom inet aus einzuloggen. das problem hierbei ist die dynamische ip. wenn diese rechner von denen sich die 2 einloggen (via internet) immer dieselben kisten sind, würde ich die authentifikation mittels key einsetzen.

soll der zugriff aber mal von dem rechner und dann wieder vom inetcafe etc. erfolgen, dann wird es imho unmöglich, das ganze zu realisieren. dann helfen nur gute passwörter ;).



Gruß HL

Thomas
05.11.03, 10:23
Hm, ich verstehe das Problem noch immer nicht.

Es sollen sich drei User vie SSH einloggen dürfen. Dovon zwei von überall, einer nur aus dem lokalen Netz.
Voraussetztung: Im lokalen Netz sind feste IPs vergeben.

User soll sich von überall her einloggen können:
AllowUsers FooUser

User soll sich NUR LOKAL einloggen können:
AllowUsers FooUser@192.168.0.123


Wo haben wir ein Problem mit dynamischen IPs? Oder werden die lokalen IPs dynamisch von einem DHCP vergeben?


Thomas.

linuxhanz
05.11.03, 17:56
Bei dynamischen IPs habe ich mal versucht ne Variable mit httpd zu erzeugen.

d.h der user gibt in ein form seine dynIP und diese wird via Variable an
sshd weitergereicht.
Aber der sshd schluckt keine Variablen in der sshd_config?

Evtl. ne Umgebungsvariable?

Ps mit !user kannste User ausschliessen Herr TThomas.

man -a ssh*

Thomas
05.11.03, 20:25
Kein Grund unhöflich zu werden!
Natürlich kann man !user verwenden, jedoch hat das nichts mit dem Problem hier zu tun.

Wozu etwas an den IPs aus dem Internet rumschrauben wenn man alles mit den lokalen IPs regeln kann?

Also nochmal die Frage an usr: Verwendest du lokal dynamische oder feste IPs?

usr
05.11.03, 21:36
TThomas,
via DHCP vergeben, allerdings mit Reservierungen.

Thomas
05.11.03, 21:37
Dann ist das Problem ja kein Problem mehr?!

HangLoose
05.11.03, 21:41
@TThomas


hm, wenn ich mir den thread nochmal durchlese, frage ich mich allerdings auch warum ich die dynamischen ip's ins spiel gebracht habe.

war wohl doch nicht nur *haarscharf vorbei* ;)


Gruß HL

Thomas
05.11.03, 21:54
Hehe, das habe ich mich auch gefragt... :D

Ende gut, alles gut. :)

usr
06.11.03, 00:10
Danke. Hat wunderbar geklappt.

Kennt sich jemand von euch zufällig mit Postfix und HTB aus?