Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH: nur bestimmte Benutzer zulassen.
Hi,
ich kann ja via die Option "AllowUsers" einrichten, dass sich nur bestimmte Benutzer anmelden können. Das klappt auch so weit. Die Benutzer könne sich auch via Internet einloggen. Allerdings will ich jetzt, dass sich nur 2 der insgesamt 3 "AllowUsers" über das Internet einloggen können.
Kann ich das so einrichten oder geht nur Lan+Inet? Danke.
!user ?
nur so eine Idee.
@ linuxhanz: Mal gelesen was die Frage war? :D
@ usr: Mir wäre keine Option bekannt, um dies direkt in der SSHD-Konfiguration festzulegen.
Thomas.
KORREKTUR:
Es ist möglich!
In der sshd_config unter AllowUsers musst du Einträge der Form USER@HOST machen. Bei den Usern, die sich von überall einloggen dürfen, lässt du den Eintag wie bisher, also nur USER.
Thomas.
Danke! Ich werds morgen gleich mal testen.
Original geschrieben von TThomas
KORREKTUR:
Es ist möglich!
In der sshd_config unter AllowUsers musst du Einträge der Form USER@HOST machen. Bei den Usern, die sich von überall einloggen dürfen, lässt du den Eintag wie bisher, also nur USER.
Thomas.
und wie machst dus bei deinen die sich von eth0 bzw von 192.168.0.0/24 einloggen dürfen?
moin moin
Original geschrieben von TThomas
KORREKTUR:
Es ist möglich!
In der sshd_config unter AllowUsers musst du Einträge der Form USER@HOST machen. Bei den Usern, die sich von überall einloggen dürfen, lässt du den Eintag wie bisher, also nur USER.
Thomas.
mit dynamischer ip dürfte es schwer werden. wenn die ip's feststehen würde ich das ganze lieber iptables regeln lassen.
Gruß HL
HangLoose,
hab leider nur ne dynamische IP. Kannste dir mein Skript im anderen thread noch angucken? Vielleicht haste ne Idee.
Original geschrieben von usr
HangLoose,
hab leider nur ne dynamische IP. Kannste dir mein Skript im anderen thread noch angucken? Vielleicht haste ne Idee.
kannste das teil mal als .txt anhängen. safari öffnet das sonst nicht.
Klasse, ich kann den Anhang nicht noch mal uploaden. Kannst mir ja ne mail schicken. Dann kann ich dir das Teil auch mailen.
Habs gerade noch mal verschickt. Sehr seltsam.
Ich bin jetzt mal von einem "normalen" kleinen privaten Netz mit festen IPs ausgegangen.
Da man nur die lokale IP freigeben muss, um die dynamische öffentliche IP zu sperren, reicht also diese Möglichkeit aus.
Im Übrigen: Lieber am Service und in IPTables sperren, also überall. Aber am Service auf jeden Fall, das ist schließlich die letzte Instanz, dort zeigt die Regel Wirkung, auch wenn die Firewall umgangen worden ist.
moin
möglich das ich mal wieder haarscharf an der *aufgabenstellung* vorbei geschlittert bin ;).
ich habe usr so verstanden, das von den 3 usern die sich auf dem rechner per ssh einloggen dürfen, 2 en gestattet werden soll sich auch vom inet aus einzuloggen. das problem hierbei ist die dynamische ip. wenn diese rechner von denen sich die 2 einloggen (via internet) immer dieselben kisten sind, würde ich die authentifikation mittels key einsetzen.
soll der zugriff aber mal von dem rechner und dann wieder vom inetcafe etc. erfolgen, dann wird es imho unmöglich, das ganze zu realisieren. dann helfen nur gute passwörter ;).
Gruß HL
Hm, ich verstehe das Problem noch immer nicht.
Es sollen sich drei User vie SSH einloggen dürfen. Dovon zwei von überall, einer nur aus dem lokalen Netz.
Voraussetztung: Im lokalen Netz sind feste IPs vergeben.
User soll sich von überall her einloggen können:
AllowUsers FooUser
User soll sich NUR LOKAL einloggen können:
AllowUsers FooUser@192.168.0.123
Wo haben wir ein Problem mit dynamischen IPs? Oder werden die lokalen IPs dynamisch von einem DHCP vergeben?
Thomas.
Bei dynamischen IPs habe ich mal versucht ne Variable mit httpd zu erzeugen.
d.h der user gibt in ein form seine dynIP und diese wird via Variable an
sshd weitergereicht.
Aber der sshd schluckt keine Variablen in der sshd_config?
Evtl. ne Umgebungsvariable?
Ps mit !user kannste User ausschliessen Herr TThomas.
man -a ssh*
Kein Grund unhöflich zu werden!
Natürlich kann man !user verwenden, jedoch hat das nichts mit dem Problem hier zu tun.
Wozu etwas an den IPs aus dem Internet rumschrauben wenn man alles mit den lokalen IPs regeln kann?
Also nochmal die Frage an usr: Verwendest du lokal dynamische oder feste IPs?
TThomas,
via DHCP vergeben, allerdings mit Reservierungen.
Dann ist das Problem ja kein Problem mehr?!
@TThomas
hm, wenn ich mir den thread nochmal durchlese, frage ich mich allerdings auch warum ich die dynamischen ip's ins spiel gebracht habe.
war wohl doch nicht nur *haarscharf vorbei* ;)
Gruß HL
Hehe, das habe ich mich auch gefragt... :D
Ende gut, alles gut. :)
Danke. Hat wunderbar geklappt.
Kennt sich jemand von euch zufällig mit Postfix und HTB aus?
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.