PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Login Begrenzung



neo2k
03.01.03, 13:02
Hallo,
ich habe einen Server am Netz auf dem meherere Leute Zugriff haben. Ich habe nach aussen alles dicht ausser ssh (port 22).
Da viele Leute aber sowas von billige Passwörter haben, traaue ich dem Frieden nicht. Ich würde gern von aussen nur bestimmte Leute ueber ssh zulassen. Was Netzwerkintern passiert ist mir egal. Ich will nur das von aussen zB nur ich ueber ssh reinkomme. Geht das irgendwie ?

Vielen Dank
Torsten

gfc
03.01.03, 13:05
Original geschrieben von neo2k
Hallo,
ich habe einen Server am Netz auf dem meherere Leute Zugriff haben. Ich habe nach aussen alles dicht ausser ssh (port 22).
Da viele Leute aber sowas von billige Passwörter haben, traaue ich dem Frieden nicht. Ich würde gern von aussen nur bestimmte Leute ueber ssh zulassen. Was Netzwerkintern passiert ist mir egal. Ich will nur das von aussen zB nur ich ueber ssh reinkomme. Geht das irgendwie ?

Vielen Dank
Torsten

das Stichwort heisst IPtables... such mal hier im Forum darüber, du wirst fündig! Per Iptables kannst du bestimte Pakete nach deinen Kriterien herausfiltern, z.B. nach IP, nach Art der Pakete nach Port etc.

neo2k
03.01.03, 13:10
Hi,
danke fuer die Antwort, aber ich habe mich evtl bischen umständlich ausgedrückt.
Ne Firewall hab ich schon oben. Also das von aussen alles dicht ist. Ich will direkt Logins verbieten oder zusallen.
Zum Beispiel so das sich user X von aussen nicht per ssh einloggen kann, von intern aber schon.
Oder versteh ich dich falsch und das geht ueber iptables ?

MfG
Torsten

joey.brunner
03.01.03, 13:36
da musst du in den diversen configs schauen. du kannst z.b. bei ssh sagen, du horch bitte nur auf die und die ip. du kannst auch mit ip-adressen arbeiten....

joey

gfc
03.01.03, 20:05
Original geschrieben von neo2k
Hi,
danke fuer die Antwort, aber ich habe mich evtl bischen umständlich ausgedrückt.
Ne Firewall hab ich schon oben. Also das von aussen alles dicht ist. Ich will direkt Logins verbieten oder zusallen.
Zum Beispiel so das sich user X von aussen nicht per ssh einloggen kann, von intern aber schon.
Oder versteh ich dich falsch und das geht ueber iptables ?

MfG
Torsten

geht prinzipiel auch via iptables. z.B du filterst alle Pakete, welche den Port 22 benutzen und keine der zugelassenen IPs benutzen.... geht aber auch via Config des ssh_Servers...

tomes
03.01.03, 22:22
kann man bei ssh auch mit der File /etc/nologin arbeiten.
Ausserdem sind wohl die Files /etc/hosts.* besser geeignet bestimmte IP's zu blocken oder zu erlauben,
als ellenlange Firewall-Scripts ;)
Lesetip --> http://www.openbsd.org/cgi-bin/man.cgi?query=sshd :D

T;o)Mes

RapidMax
03.01.03, 22:34
/etc/nologin block aber immer gleich alle user, ausser root.

Die Authentifikation über die IP scheint mir ein wenig umständlich zu konfigurieren, besonders bei wechselnden IP's. Ausserdem ist es auch nicht sicher bezüglich spoofing.

Die beste Möglichkeit wird die Option "AllowGroups" in der sshd_config sein.

Gruss, Andy

keiner_1
04.01.03, 03:29
Original geschrieben von RapidMax
/etc/nologin block aber immer gleich alle user, ausser root.


noch nie gehört und existiert auf meinen sys auch nicht

[root@cpq01 root]# type nologin
nologin is /sbin/nologin
[root@cpq01 root]#

das einzige das ich kenne ist nologin als Shell, heisst man müsste sie in /etc/passwd eintragen...

cu
a,me

synapsis
04.01.03, 12:32
hi,
in der sshd_config gibt es einen parameter AllowGroups, dann dürfen sich nur noch user anmelden, die der erlaubten gruppe angehören.
Netzintern (aus Deinem Lan) würde ich einen zweiten ssh-dämon starten der auf einen anderen port hört, auf den sich dann jeder einloggen darf

grüße s0t