PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH: Zugriff einschränken



Tigerhead
15.08.05, 13:59
Hallo,

ich hoffe, dass mit hier jemand helfen kann und zwar habe ich einen Linux Server mit Fedora drauf und nun folgendes vor. Die Benutzer die ich anlege, sollen nicht von außen nicht benutzbar sein außer der root-Zugriff. Also ich soll mich via ssh in keinem Account einloggen können außer beim root. Mit "sbin/nologin" habe ich es probiert, aber es soll eine Ip geben die auf ALLE User drauf kann und das geht bestimmt nicht. Habe mich vielleicht etwas schlecht ausgedrückt, deswegen nochmal eine kleine Übersicht hier:

- Root von überall
- Alle anderen User oder alle anderen User einer Gruppe garnicht außer von einer bestimmten Ip aus oder wenn das nicht geht dann nur vom Root aus.

Sicherlich fragen einige sich schon wofür ich das brauche. Ich habe ein kleines Interface welches momentan noch auf dem lokalen Server läuft und alles klappt auch, aber ich möchte nicht, dass sich die User in den SSH einloggen können, das Iface aber ja. Da das Iface wahscheinlich mal auf nen anderen Server gehen wird, sollte lieber eine bestimmte Ip nur anstatt der Root zugriff auf die User zugreifen können.

Vielen Dank im Vorraus für eure Hilfe !
Sven Brunn <Tigerhead>

PS: Falls einige auf die Idee kommen das Iface auf den Rootbenutzer umzuschreiben, naja ist nicht so dolle... zumindest ne Menge arbeit und habe zuwenig Ahnung davon.

Gronau
15.08.05, 14:15
> - Root von überall

Das geht per "PermitRootLogin yes" in der sshd_config, erhöht allerdings nicht gerade die sicherheit. Es ist besser root-zugriff zu sperren und sich mit einem anderen benutzer per su(1) zu root zu wechseln.

> - Alle anderen User oder alle anderen User einer Gruppe garnicht außer von einer bestimmten Ip aus oder wenn das nicht geht dann nur vom Root aus.

Wenn die ip vorher bekannt ist, geht das mit einem iptables-script. Falls nicht wäre vielleicht ein anti-ssh-bruteforce-script (http://www.aumund.org/node/1075) die bessere wahl.

Tigerhead
15.08.05, 14:46
Mit IPtables geht das doch nicht, da der Root-Zugriff ja von jedem User aus gehen soll nur die anderen Benutzer sollen eingeschränkt werden.

dany_fun
15.08.05, 17:01
also das user und ip zusammenpassen kannst du hiermit sicherstellen

AllowUsers
This keyword can be followed by a list of user name patterns,
separated by spaces. If specified, login is allowed only for us-
er names that match one of the patterns. `*' and `?' can be used
as wildcards in the patterns. Only user names are valid; a nu-
merical user ID is not recognized. By default, login is allowed
for all users. If the pattern takes the form USER@HOST then USER
and HOST are separately checked, restricting logins to particular
users from particular hosts.

probier mal

AllowUsers user1@ip1 user2@ip2 root

mfg