PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH nur von bestimmten IP Adressen



Airwolf
18.03.04, 09:24
Hallo zusammen,
ich möchte gerne SSH nur für einige IP Adressen freigeben. Mit AllowHosts gehts leider nicht da gibt es eine fehlermeldung. Außerdem würde ich gerne Pings unterbinden.

Ich habe einen Linux-Server direkt am Internet dranne welcher einige Dienste machen soll, er hat nur eine Netzwerkkarte.

Vieleicht kann mir jemand helfen, bei google habe ich leider auch nur AllowHosts als Lösung gefunden welcher aber bei vielen nicht funktioniert.

Chris

AceTheFace
18.03.04, 09:31
Original geschrieben von Airwolf
Hallo zusammen,
ich möchte gerne SSH nur für einige IP Adressen freigeben. Mit AllowHosts gehts leider nicht da gibt es eine fehlermeldung. Außerdem würde ich gerne Pings unterbinden.

Ich habe einen Linux-Server direkt am Internet dranne welcher einige Dienste machen soll, er hat nur eine Netzwerkkarte.

Vieleicht kann mir jemand helfen, bei google habe ich leider auch nur AllowHosts als Lösung gefunden welcher aber bei vielen nicht funktioniert.

Chris

Was gibt denn AllowHosts für ne Fehlermeldung?

Gruß,
Ace

Airwolf
18.03.04, 09:42
Hallo,
folgende Meldung kommt beim Neustart...

pinguin1:/etc # sshd
/etc/ssh/sshd_config: line 76: Bad configuration option: AllowHosts
/etc/ssh/sshd_config: terminating, 1 bad configuration options
pinguin1:/etc #


Gruß

Chris

DarkSorcerer
18.03.04, 09:47
Original geschrieben von Airwolf
Außerdem würde ich gerne Pings unterbinden.

Chris
ICMP Pakete kannst du mit einer iptables Regel droppen... hab allerdings grad kein Firewall Script parat, Forensuche sollte weiterhelfen.

pcm
18.03.04, 09:48
hi,

in der manpage zu sshd_config gibt es kein allowhosts, was du suchen wirst ist AllowUsers. AllowUsers *@192.168.0.222 erlaubt den sshd zugriff nur für alle benutzer von 192.168.0.222.

man sshd_config

ping kannst du mit iptables blocken, inwieweit das sinn macht ist aber fraglich.

gruß pcm

mbo
18.03.04, 09:52
Original geschrieben von Airwolf

/etc/ssh/sshd_config: line 76: Bad configuration option: AllowHosts
/etc/ssh/sshd_config: terminating, 1 bad configuration options


AllowHosts in der sshd_config? Verwechselst Du da nicht was?
<edit>
Korrektur: Zumindest OpenSSH kann das wohl nicht
</edit>

Solcher Sachen werden über die

/etc/hosts.allow

mit zB

sshd: .my.domain

geregelt.

cu/2 iae
Matthias

mbo
18.03.04, 10:05
Original geschrieben von mbo

<edit>
Korrektur: Zumindest OpenSSH kann das wohl nicht
</edit>

Ich zitiere mich mal selbst ...

sieh mal hier
http://www.ssh.org/documents/32/sshd2_configman.txt
und dann hier
http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config&sektion=5&arch=i386&apropos=0&manpath=OpenBSD+Current

Also entweder über /etc/hosts.allow
oder über iptables

cu/2 iae

pcm
18.03.04, 12:18
Original geschrieben von mbo
Also entweder über /etc/hosts.allow
oder über iptables



warum so "umständlich"? AllowUsers tut doch das was er im prinzip will.


AllowUsers
This keyword can be followed by a list of user name patterns,
separated by spaces. If specified, login is allowed only for
user names that match one of the patterns. `*' and `?' can be
used as wildcards in the patterns. Only user names are valid; a
numerical user ID is not recognized. By default, login is
allowed for all users. If the pattern takes the form USER@HOST
then USER and HOST are separately checked, restricting logins to
particular users from particular hosts.

gruß pcm

Airwolf
18.03.04, 12:53
gibt es keine möglichkeit irgendwie den Dienst wenn er außerhalb des 192.168.1.x Netz nicht zu starten, ich möchte verhindern das man rausbekommt ob da SSH leuft...
Mit 2 Netzwerkkarten wüsste ich das ungefähr, aber ist es bei einer Karte auch möglich !?

Chris

pcdog
18.03.04, 13:04
? bis du ganz am lan oder hast du nen laptop--> wechselnde infrastruktur

wenn du nen router vor dir hst kommt eh niemand drauf da NAT <<--- stichwort!
betrieben wird

Airwolf
18.03.04, 13:32
Original geschrieben von pcdog
? bis du ganz am lan oder hast du nen laptop--> wechselnde infrastruktur

wenn du nen router vor dir hst kommt eh niemand drauf da NAT <<--- stichwort!
betrieben wird

Der Server ist immer Online derzeit steht er direkt am Netz, also vollen zugriff, ich möchte halt vermeiden das man scannen kann, aber ich glaube nur mit einer Netzkarte ist es aussichtslos oder ??

Chris

pcm
18.03.04, 13:36
wie wärs mit ListenAddress? ListenAddress deinelanip (bsp ListenAdress 192.168.0.1)

Airwolf
18.03.04, 13:44
Da ich mich im moment einarbeite kann ich mit ListenAdresse nicht viel Anfangen, ich denke das ist sowas mit Filtern usw.

Trage ich die in die ssh config ein !?

Chris

pcm
18.03.04, 13:46
das sollte auskommentiert in deiner /etc/ssh/sshd_config stehen, einfach das # wegmachen und das 0.0.0.0 (was für alle steht) zu deiner lanip ändern. man sshd_config is dein freund ;)

Airwolf
18.03.04, 14:01
Ist das nicht eigentlich auf welche IP Adresse SSH hören soll ?? Mein english ist nicht das beste..oder kann ich dort z.B. 192.168.1.0 eingeben und alle aus dem 1er Netz kommen auf den SSH !?

Chris

Liberace
18.03.04, 14:23
Ja das ist die Adresse auf die SSH gebunden wird und ein Dienst kann nicht an ein Netz gebunden werden. Nur an eine einzelne Adresse.

pcm
18.03.04, 14:25
ListenAddress = auf welcher ip der sshd lauschen soll, standardmäßig lauscht er auf allen (0.0.0.0), gibst du dort nun die ip an die dein rechner hat wo sshd läuft (z.b. 192.168.0.1) dann ist der nur über diese ip zu erreichen und nichtmehr über z.b. das internet (ppp0).

AllowUsers = welche lokalen benutzer sich anmelden dürfen UND von welcher ip aus sie das dürfen. z.b. bei AllowUsers *@192.168.0. (oder wars 192.168.0.*?!) können sich alle benutzer aus dem 192.168.0.0er netz an dem rechner per ssh anmelden. wenn ich zuhause bin poste ich mal den entsprechenden part aus meiner config.

gruß pcm

steve-e
07.07.04, 15:35
dann poste diesen mal bitte :-)