Hallo zusammen,

mein Homeserver ist von extern per SSH erreichbar. Nun habe ich für den Zugriff vom Internet einen eigenen Benutzer angelegt und Root deaktiviert.

Mein Problem ist nun das Root auf diesem Weg auch nicht mehr innerhalb des LANs sich per SSH anmelden darf. Das soll aber nicht der Fall sein.

Was muss ich dazu in der sshd_config denn ändern?

Gruß

riedochs

Ich denke mal, du musst zwei Konfigurationsdateien erstellen, die entsprechend andere Optionen (v.a. ListenAddress und PermitRootLogin) haben und dann den SSHD mit der Option "-f configfile" starten.

Dafür kannst du das init-Skript vom sshd ja kopieren und entsprechend anpassen.

Nachtrag:
Schau dir mal die Option Match an, damit kannst du Optionen nach Bedingungen überschreiben.

Nachnachtrag:
Beispiele gibt es z.B. hier:
http://blogs.sun.com/hylee/entry/match_conditional_block_for_sunssh

Kannst auch einfach Deinen Benutzer mit su und einem zusätzlichen Passwort bei Bedarf zu root wechseln lassen, falls das Dein Sicherheitskonzept nicht unterminiert.

Für was dem root erlauben sich per SSH einzuloggen? Wie schon oziris gesagt hat, dafür gibt es nach dem normalen Login den Befehl su

Für was dem root erlauben sich per SSH einzuloggen?
Kann ja sein, dass er gar keine Passwörter und nur SSH-Keys verwenden will. (Dann muss man sich evtl. nix merken bzw. ein entfernter Angreifer, der schon als unprivilegierter Benutzer Zugriff erlangt hat, könnte dann keine lokalen Attacken auf das root-Passwort ausführen, wenn es gar keins gibt...)

Auch wieder wahr. Daran hab ich jetzt gar nicht gedacht.

Für was dem root erlauben sich per SSH einzuloggen? Wie schon oziris gesagt hat, dafür gibt es nach dem normalen Login den Befehl su

Für ein faules rsync -ssh zum Bleistift. Gut man kann OpenVPN installieren um SSH nicht nutzen zu müssen. Ist aber für ab und an zu Aufwendig :)

Hmm, für wo braucht man leicht ein rsync und su-rechte?

Um Sachen zu synchronisieren, auf die nur root Zugriff haben darf.

Um Sachen zu synchronisieren, auf die nur root Zugriff haben darf.
Und wieso gerade hier kein 'sudo'?

Kann man bei rsync überhaupt angeben, dass es remote ein sudo machen soll, wenn es über ssh geht? (rsync hat sooo viele Optionen, da blicke ich nicht mehr durch...)

Kann man bei rsync überhaupt angeben, dass es remote ein sudo machen soll, wenn es über ssh geht? (rsync hat sooo viele Optionen, da blicke ich nicht mehr durch...)
Keine Ahnung, aber rsync muss ja remote unter irgendeinem Benutzer ausgeführt werden, diesem müsste dann mittels visudo die nötigen Rechte gegeben werden.

Danke für eure Hilfe und Antworten. SSH soll nur per User & Passwort gehen, dann kann ich eben von überall auf meinen Server zugreifen. Das mit dem Match schau ich mir an. Der Login via Internet hat ein >10 stelliges PW, das möchte ich fürs LAN nicht jedesmal eingeben.

Wollte euch noch ein kurzes Feedback geben:

Mit Match funktioniert es. :)