Moin,

ich habe einen Rechner, der als Gateway für das interne Netz fungiert. Darauf läuft auch ein sshd. Ich möchte mich gern von den internen Rechnern als root einloggen, das von außen aber verbieten.
AllowUsers bzw. PermitRootLogin gelten ja für beide Interfaces. Könnte ich ihm irgendwie sagen "root über eth0 ist gut, root über eth1 ist schlecht"?

Chandler

Meines Wissens geht es nicht. Du müsstest zwei sshd laufen lassen.

Meines Wissens geht es nicht. Du müsstest zwei sshd laufen lassen.

Also weißt Du doch wie's geht... ;-)


> cat /etc/ssh/sshd_config_extern
[..]
ListenAddress xxx.xxx.xxx.xxx
PermitRootLogin no

> cat /etc/ssh/sshd_config_intern
[..]
ListenAddress 192.168.yyy.yyy
PermitRootLogin yes


Und dann noch /etc/init.d/ssh duplizieren: einmal mit

ssh -f /etc/ssh/sshd_config_intern
und einmal mit

ssh -f /etc/ssh/sshd_config_extern

Jeder lauscht dann nur an seiner Kombination von IP-Adresse und Port.

Robert

dann würden entsprechende Einträge dort auch wirken.
z.B.
sshd : 172.16.0.0/24 : ALLOW
in /etc/hosts.allow
und natürliche in /etc/hosts.deny am besten ein deny ALL Eintrag, damit alles andere zu ist.

ach, fast vergessen, da gibt es noch die Möglichkeit per "firewall" nur bestimmte Rechnerzugriffe zu erlauben, käme dann auf das Gleiche hinaus.

Also weißt Du doch wie's geht... ;-)


> cat /etc/ssh/sshd_config_extern
[..]
ListenAddress xxx.xxx.xxx.xxx
PermitRootLogin no

> cat /etc/ssh/sshd_config_intern
[..]
ListenAddress 192.168.yyy.yyy
PermitRootLogin yes


Und dann noch /etc/init.d/ssh duplizieren: einmal mit

ssh -f /etc/ssh/sshd_config_intern
und einmal mit

ssh -f /etc/ssh/sshd_config_extern

Jeder lauscht dann nur an seiner Kombination von IP-Adresse und Port.

Robert
Das klingt gut!
Was muss ich denn dann als ListenAddress für den externen angeben? Ich hab ja keine statische IP nach draußen.

Ich werde es nun doch anders machen:
Ich erzeuge auf den internen Maschinen Schlüssel, die ich auf dem Server ablege und erlaube root dann nur noch den login ohne Passwort ("PermitRootLogin without-password").
Dann kann ich mich von außen als user immer noch per Passwort einloggen, als root aber nicht, weil der Schlüssel nicht bekannt ist.
Intern kann ich mir dann die Passwort-Abfrage komplett schenken, wenn ich die Schlüssel der User auch verteile.

Danke an alle für die Inspiration! ;)

Chandler

Ich erzeuge auf den internen Maschinen Schlüssel, die ich auf dem Server ablege und erlaube root dann nur noch den login ohne Passwort ("PermitRootLogin without-password").
Dann kann ich mich von außen als user immer noch per Passwort einloggen, als root aber nicht, weil der Schlüssel nicht bekannt ist.
Chandler

Das muß richtigerweise heißen "... solange der Schlüssel nicht bekannt ist".
Ich hoffe mal, daß Dein Schlüssel mit einem Paßwort gesichert ist. Dann kannst Du ihn sogar (per Stick oder so) mitnehmen und hast trotzdem eine weitere Schwelle gegen eventuelle Angriffe (Schlüssel und Paßwort).

Robert

Wie soll der Schlüssel denn nach außen "leaken"?
Das kann ja nur passieren, wenn jemand erfolgreich einen Einbruchversuch unternimmt und dann ist es ja eh schon zu spät...

ma ne andere Frage,
hast du auf deinem Gateway die IPTABLES installiert ??
Weil wenn ja, dann blockst du einfach allen ankommenden Traffic der via eth1 kommt und als Protokoll ssh hat ....


gruß 'collar

Ich will mich ja über beide Interfaces per SSH einloggen können, nur von draußen eben nicht als root.

Dann ware es einfacher, root ganz zu verbieten und wenn noetig ein "su -" als berechtigter User auszufuehren.

Abgesehen davon, das das auch noch eine weitere Barriere darstellt.

Gruss,
Christian

ja, schon.
Aber ich bin so tippfaul, deswegen würde ich von innen gern gleich als root auf die anderen Rechner.