PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH Login für einen User nur von einer bestimmten IP erlauben



Majjo
09.11.06, 17:32
Hallo,

ich hab die Foren hier mehrfach durchsucht und leider nichts zu meinem aktuellen Stolperstein gefunden.

Ich habe 2 Server.
Systemuser auf Server 2 haben FTP Zugriff mit Ihren Systemdaten (Username und Passwort), dürfen aber nicht mittels SSH auf den Server einloggen.
Jedoch muss der SSH Login von Server 1 erlaubt werden.

Also, wie drehe ich es das SSH Login für User XYZ nur von IP 1.2.3.4 erlaubt wird ?

LordDarkmage
09.11.06, 17:45
Dann setz doch ganz einfach die Shell dieser User auf /bin/false statt /bin/bash. Somit fällt der Login via SSH flach.

Sofern der Server nicht gerade in deinem heimischen Netz steht bzw. du direkten Zugriff drauf hast, schlage ich vor den Zugriff per SSH eben nicht auf eine bestimmte IP zu binden. Sollte mal deine Internetverbindung wegfallen (ich gehe mal von einem Root im Datacenter aus) und du musst von einem anderen PC aus ran, dann hast du dich faktisch selbst ausgesperrt.

Majjo
09.11.06, 17:52
Ich muss eben Zugriff von Server 1 auf die User per SSH haben.
Also ganz aus geht somit nicht.

framp
09.11.06, 19:18
Wenn die Server feste IPs haben benutze hosts.allow bzw hosts.deny dazu.

Majjo
09.11.06, 19:37
Ne Idee wie ich das genau für die User eintrage ?
Ich finde so auf anhieb nichts dazu wie ich da User mit angeben kann.

bla!zilla
09.11.06, 19:57
Du trägst die IP von Server 1 in die /etc/hosts.allow ein. Dann aktivierst du die Public Key Authentifizierung und schaltest die Passwort Authentifizierung beim sshd ab. Nun erstellst du für jeden User, welcher sich über SSH auf dem Server 2 einloggen soll, einen Key. Den Public Key trägst du dann auf dem Server 1 im Homeverzeichnis des jeweiligen Users in die ~/.ssh/authorized_keys ein. Nun können sich ausgewählte User von Server 1 auf Server 2 einloggen und das ohne Eingabe eines Kennwortes. Wer keinen Key hat, der kommt auch nicht auf die Maschine.

Majjo
09.11.06, 20:04
Und ich komme dann von zuhause aus noch auf den Server über ssh ?

framp
09.11.06, 20:49
Nein, denn von Zuhause wirst Du vermutlich keine feste IP haben :rolleyes: .

Majjo
09.11.06, 21:27
Und genau diesen weg will ich nicht.
Ich weiß das es nen passenden weg gibt wo ich den User und die IP angeben kann, aber ich hab es mir damals bei dem Server den ich da hatte nicht aufgeschrieben und habe keinen schimmer mehr wo das war.

framp
09.11.06, 21:36
...Ich weiß das es nen passenden weg gibt wo ich den User und die IP angeben kann,....
Welche IP wenn die per dhcp von Deinem ISP vergeben wird :cool:

Jasper
09.11.06, 22:11
Und genau diesen weg will ich nicht.
Ich weiß das es nen passenden weg gibt wo ich den User und die IP angeben kann, aber ich hab es mir damals bei dem Server den ich da hatte nicht aufgeschrieben und habe keinen schimmer mehr wo das war.

sieh mal in der manpage zu sshd, abschnitt autorized_keys nach.
das sieht dann in authorized_keys so aus:

from="server1" <keydaten>

-j

Majjo
10.11.06, 17:26
framp, meine Server haben eine feste IP.
Wenn das mit der IP nicht in Frage käme dann würde ich nicht gezielt danach fragen.

Jasper, danke, aber das was ich suche ist das glaub ich nicht.
Wenn mir wenigstens einfallen würde in welcher Datei das damals gestanden hat :(