Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH Zugriffe
DBGTMaster
12.10.06, 11:02
Hallo!
Kann mit irgendwo bei SLES 9 konfigurieren, so dass per SSH nur bestimmte IPs zugreifen können?
mfg
Ja. Geht bei jeder Distri, nennt sich /etc/hosts.allow und /etc/hosts.deny. Dazu einfach die passende Manpage lesen. Beispiel:
/etc/hosts.deny
ALL: ALL
/etc/hosts.allow
sshd: 192.168.32.1 10.73.42.9
DBGTMaster
12.10.06, 12:24
Ja. Geht bei jeder Distri, nennt sich /etc/hosts.allow und /etc/hosts.deny. Dazu einfach die passende Manpage lesen. Beispiel:
/etc/hosts.deny
ALL: ALL
/etc/hosts.allow
sshd: 192.168.32.1 10.73.42.9
und wie sieht das ganze nun bei allow aus, wenn das ganze netzwerk 102.168.0.X zugreifen kann?
sshd : 192.168.1.0/255.255.255.0 : ALLOW
ist das so korrekt?
mfg
Der Eintrag
/etc/hosts.allow
sshd: 192.168.1.0/255.255.255.0
sollte reichen.
DBGTMaster
12.10.06, 13:33
Der Eintrag
/etc/hosts.allow
sshd: 192.168.1.0/255.255.255.0
sollte reichen.
da ich mit einer öffentlichen ip darauf zugreife, habe ich es nun ein wenig abgeändert:
In hosts.allow steht drin:
sshd : 62.212.170.34/255.255.255.255 : ALLOW
In hosts.deny steht drin (wobei die erste Zeile schon drin gestanden ist:
http-rman : ALL EXCEPT LOCAL
sshd : ALL : DENY
Den Dient sshd habe ich dann auch neu gestartet, nur das Problem ist, ich kann trotzdem noch von jeder IP aus zugreifen.
mfg
DBGTMaster
12.10.06, 14:28
auch ohne den : DENY und :ALLOW am schluss funkioniert es nicht.
ich habe nun auch schon probiert, nur bei deny "sshd: ALL" einzutragen und hosts.allow leerzulassen, funktioniert aber auch nicht.
mfg
Hallo,
überprüfe bitte, ob der sshd überhaupt gegen den TCP-Wrapper gelinkt ist mit:
ldd $(type sshd)
Eine der gelinkten Bibliotheken sollte "libwrap.*" heissen. Falls es eine solche Zeile nicht in der Ausgabe gibt, dann kann der sshd nichts mit den Anweisungen in der /etc/hosts.{allow,deny} anfangen.
Wenn Du den Aufwand der ssh-Authentifizierung über User-Schlüsselpaare nicht scheust, dann kannst Du den SSH-Server auf PubKeyAuthentication only umstellen und auf dem Server in der Datei ~/.ssh/authorized_keys vor dem hinterlegten Public-Key noch folgende Option schreiben:
from="<FQDN des SSH-Clients> <Public-Key>"
Damit kann dann nur noch der Inhaber des Private-Keys vom zugelassenen Client mit dem Hostname FQDN zugreifen.
Das ist natürlich etwas mehr Aufwand, funktioniert dafür immer mit SSH und der olle TCP-Wrapper bleibt aussen vor :D
Harry
DBGTMaster
12.10.06, 14:52
Hallo,
überprüfe bitte, ob der sshd überhaupt gegen den TCP-Wrapper gelinkt ist mit:
ldd $(type sshd)
Eine der gelinkten Bibliotheken sollte "libwrap.*" heissen. Falls es eine solche Zeile nicht in der Ausgabe gibt, dann kann der sshd nichts mit den Anweisungen in der /etc/hosts.{allow,deny} anfangen.
Wenn Du den Aufwand der ssh-Authentifizierung über User-Schlüsselpaare nicht scheust, dann kannst Du den SSH-Server auf PubKeyAuthentication only umstellen und auf dem Server in der Datei ~/.ssh/authorized_keys vor dem hinterlegten Public-Key noch folgende Option schreiben:
from="<FQDN des SSH-Clients> <Public-Key>"
Damit kann dann nur noch der Inhaber des Private-Keys vom zugelassenen Client mit dem Hostname FQDN zugreifen.
Das ist natürlich etwas mehr Aufwand, funktioniert dafür immer mit SSH und der olle TCP-Wrapper bleibt aussen vor :D
Harry
danke, mir wäre aber meine variante trotzdem lieber :=).
Was muss ich denn nachinstallieren / konfigurieren, damit das dann auch richtig funktioniert?
mfg
EDIT: ich habe nun im yast tcp_wrapper nachinstalliert, reicht das?
Wenn das so nicht funktioniert, könntest du auch den SSH-Server an eine lokale IP binden:
ListenAddress 192.168.1.2
ListenAddress 192.168.2.5
DBGTMaster
12.10.06, 15:47
auf SLES 9 habe ich nun tcpd-devel nachinstalliert, nun funktioniert alles super.
Nur am SLOX (Suse Linux OpenExchange) Server gibt es das Paket im Yast nicht.
was tuhen?
DBGTMaster
13.10.06, 07:12
mmh, keiner eine ahnunh, ich kann einfach bei google ect. keine lösung finden.
DBGTMaster
13.10.06, 07:56
Danke für eure Hilfe, hat sich erledigt.
Mir is eingefallen dass in hosts.allow & .deny ein Zeilenumbruch am Schluss sein muss :D
jetzt funktionierts.
mfg
auf SLES 9 habe ich nun tcpd-devel nachinstalliert, nun funktioniert alles super.
Nur am SLOX (Suse Linux OpenExchange) Server gibt es das Paket im Yast nicht.
Generell würde ich den SLOX auf das Nachfolgeprodukt Open-Xchange Server 5 migrieren. Oder bist Du einer der ganz wenigen die noch Updates / Support für den SLOX bekommen?
mfg
cane
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.