Archiv verlassen und diese Seite im Standarddesign anzeigen : Login Begrenzung
Hallo,
ich habe einen Server am Netz auf dem meherere Leute Zugriff haben. Ich habe nach aussen alles dicht ausser ssh (port 22).
Da viele Leute aber sowas von billige Passwörter haben, traaue ich dem Frieden nicht. Ich würde gern von aussen nur bestimmte Leute ueber ssh zulassen. Was Netzwerkintern passiert ist mir egal. Ich will nur das von aussen zB nur ich ueber ssh reinkomme. Geht das irgendwie ?
Vielen Dank
Torsten
Original geschrieben von neo2k
Hallo,
ich habe einen Server am Netz auf dem meherere Leute Zugriff haben. Ich habe nach aussen alles dicht ausser ssh (port 22).
Da viele Leute aber sowas von billige Passwörter haben, traaue ich dem Frieden nicht. Ich würde gern von aussen nur bestimmte Leute ueber ssh zulassen. Was Netzwerkintern passiert ist mir egal. Ich will nur das von aussen zB nur ich ueber ssh reinkomme. Geht das irgendwie ?
Vielen Dank
Torsten
das Stichwort heisst IPtables... such mal hier im Forum darüber, du wirst fündig! Per Iptables kannst du bestimte Pakete nach deinen Kriterien herausfiltern, z.B. nach IP, nach Art der Pakete nach Port etc.
Hi,
danke fuer die Antwort, aber ich habe mich evtl bischen umständlich ausgedrückt.
Ne Firewall hab ich schon oben. Also das von aussen alles dicht ist. Ich will direkt Logins verbieten oder zusallen.
Zum Beispiel so das sich user X von aussen nicht per ssh einloggen kann, von intern aber schon.
Oder versteh ich dich falsch und das geht ueber iptables ?
MfG
Torsten
joey.brunner
03.01.03, 13:36
da musst du in den diversen configs schauen. du kannst z.b. bei ssh sagen, du horch bitte nur auf die und die ip. du kannst auch mit ip-adressen arbeiten....
joey
Original geschrieben von neo2k
Hi,
danke fuer die Antwort, aber ich habe mich evtl bischen umständlich ausgedrückt.
Ne Firewall hab ich schon oben. Also das von aussen alles dicht ist. Ich will direkt Logins verbieten oder zusallen.
Zum Beispiel so das sich user X von aussen nicht per ssh einloggen kann, von intern aber schon.
Oder versteh ich dich falsch und das geht ueber iptables ?
MfG
Torsten
geht prinzipiel auch via iptables. z.B du filterst alle Pakete, welche den Port 22 benutzen und keine der zugelassenen IPs benutzen.... geht aber auch via Config des ssh_Servers...
kann man bei ssh auch mit der File /etc/nologin arbeiten.
Ausserdem sind wohl die Files /etc/hosts.* besser geeignet bestimmte IP's zu blocken oder zu erlauben,
als ellenlange Firewall-Scripts ;)
Lesetip --> http://www.openbsd.org/cgi-bin/man.cgi?query=sshd :D
T;o)Mes
/etc/nologin block aber immer gleich alle user, ausser root.
Die Authentifikation über die IP scheint mir ein wenig umständlich zu konfigurieren, besonders bei wechselnden IP's. Ausserdem ist es auch nicht sicher bezüglich spoofing.
Die beste Möglichkeit wird die Option "AllowGroups" in der sshd_config sein.
Gruss, Andy
Original geschrieben von RapidMax
/etc/nologin block aber immer gleich alle user, ausser root.
noch nie gehört und existiert auf meinen sys auch nicht
[root@cpq01 root]# type nologin
nologin is /sbin/nologin
[root@cpq01 root]#
das einzige das ich kenne ist nologin als Shell, heisst man müsste sie in /etc/passwd eintragen...
cu
a,me
hi,
in der sshd_config gibt es einen parameter AllowGroups, dann dürfen sich nur noch user anmelden, die der erlaubten gruppe angehören.
Netzintern (aus Deinem Lan) würde ich einen zweiten ssh-dämon starten der auf einen anderen port hört, auf den sich dann jeder einloggen darf
grüße s0t
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.