Archiv verlassen und diese Seite im Standarddesign anzeigen : root SSH Login nur aus Intranet
Hallo zusammen,
mein Homeserver ist von extern per SSH erreichbar. Nun habe ich für den Zugriff vom Internet einen eigenen Benutzer angelegt und Root deaktiviert.
Mein Problem ist nun das Root auf diesem Weg auch nicht mehr innerhalb des LANs sich per SSH anmelden darf. Das soll aber nicht der Fall sein.
Was muss ich dazu in der sshd_config denn ändern?
Gruß
riedochs
Ich denke mal, du musst zwei Konfigurationsdateien erstellen, die entsprechend andere Optionen (v.a. ListenAddress und PermitRootLogin) haben und dann den SSHD mit der Option "-f configfile" starten.
Dafür kannst du das init-Skript vom sshd ja kopieren und entsprechend anpassen.
Nachtrag:
Schau dir mal die Option Match an, damit kannst du Optionen nach Bedingungen überschreiben.
Nachnachtrag:
Beispiele gibt es z.B. hier:
http://blogs.sun.com/hylee/entry/match_conditional_block_for_sunssh
Kannst auch einfach Deinen Benutzer mit su und einem zusätzlichen Passwort bei Bedarf zu root wechseln lassen, falls das Dein Sicherheitskonzept nicht unterminiert.
TheDarkRose
13.12.09, 20:00
Für was dem root erlauben sich per SSH einzuloggen? Wie schon oziris gesagt hat, dafür gibt es nach dem normalen Login den Befehl su
Für was dem root erlauben sich per SSH einzuloggen?
Kann ja sein, dass er gar keine Passwörter und nur SSH-Keys verwenden will. (Dann muss man sich evtl. nix merken bzw. ein entfernter Angreifer, der schon als unprivilegierter Benutzer Zugriff erlangt hat, könnte dann keine lokalen Attacken auf das root-Passwort ausführen, wenn es gar keins gibt...)
TheDarkRose
13.12.09, 21:08
Auch wieder wahr. Daran hab ich jetzt gar nicht gedacht.
Für was dem root erlauben sich per SSH einzuloggen? Wie schon oziris gesagt hat, dafür gibt es nach dem normalen Login den Befehl su
Für ein faules rsync -ssh zum Bleistift. Gut man kann OpenVPN installieren um SSH nicht nutzen zu müssen. Ist aber für ab und an zu Aufwendig :)
TheDarkRose
14.12.09, 00:19
Hmm, für wo braucht man leicht ein rsync und su-rechte?
Um Sachen zu synchronisieren, auf die nur root Zugriff haben darf.
Um Sachen zu synchronisieren, auf die nur root Zugriff haben darf.
Und wieso gerade hier kein 'sudo'?
Kann man bei rsync überhaupt angeben, dass es remote ein sudo machen soll, wenn es über ssh geht? (rsync hat sooo viele Optionen, da blicke ich nicht mehr durch...)
Kann man bei rsync überhaupt angeben, dass es remote ein sudo machen soll, wenn es über ssh geht? (rsync hat sooo viele Optionen, da blicke ich nicht mehr durch...)
Keine Ahnung, aber rsync muss ja remote unter irgendeinem Benutzer ausgeführt werden, diesem müsste dann mittels visudo die nötigen Rechte gegeben werden.
Danke für eure Hilfe und Antworten. SSH soll nur per User & Passwort gehen, dann kann ich eben von überall auf meinen Server zugreifen. Das mit dem Match schau ich mir an. Der Login via Internet hat ein >10 stelliges PW, das möchte ich fürs LAN nicht jedesmal eingeben.
Wollte euch noch ein kurzes Feedback geben:
Mit Match funktioniert es. :)
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.