PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ssh: bestimmte user nur von best. interface



msi
27.08.03, 20:16
Hallo,
wie kann ich es erreichen, dass sich die user auf meinem server nur vom lan (interface lan0) per ssh einloggen können und über internet (ppp0) nur ein bestimmter account per ssh verfügbar ist??

hintergrund: ich habe viele benutzer die sich auf meinem server per ssh einloggen (um mp3s auf dem server abzuspielen etc), die sollen aber übers internet nicht auf den server kommen.

danke Markus

mrsuicide
27.08.03, 21:42
iptables?

Das nichtgewollte Interface (hier ppp0):
/sbin/iptables -t filter -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j DROP
/sbin/iptables -t filter -A INPUT -i ppp0 -p udp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j DROP

Ausserdem kannst du ja noch einen zweiten sshd an einem anderen Port für die ppp0-User starten und dort dann eth0 blocken!

Am besten du fügst diese Zeilen in dein Iptables-Script (empfohlen) oder irgendwo in die rc's ein!

msi
27.08.03, 23:25
Original geschrieben von mrsuicide
iptables?

Das nichtgewollte Interface (hier ppp0):
/sbin/iptables -t filter -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j DROP
/sbin/iptables -t filter -A INPUT -i ppp0 -p udp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j DROP

Ausserdem kannst du ja noch einen zweiten sshd an einem anderen Port für die ppp0-User starten und dort dann eth0 blocken!

Am besten du fügst diese Zeilen in dein Iptables-Script (empfohlen) oder irgendwo in die rc's ein!

nagut so wie das aussieht komm ich wohl nicht drann vorbei 2 sshdaemons laufen zu lassenn... :(
ich werde aber die ports nicht mit netfilter blocken, sonder in der konfiguration das device einstellen. dann kann ich auch denselben port benutzen.

emba
28.08.03, 01:16
mh, und wie schauts mit tcp-wrappern?

oder PAM bringt doch auch module mit, die es erlauben, genau zu definieren, welcher user sich von wo einloggen darf, oder (/etc/security)?

greez

msi
28.08.03, 12:27
Original geschrieben von emba
mh, und wie schauts mit tcp-wrappern?

oder PAM bringt doch auch module mit, die es erlauben, genau zu definieren, welcher user sich von wo einloggen darf, oder (/etc/security)?

greez

hallo, tcp-wrapper wird da nichts bringen! mit pam wäre es sicher machbar, aber bei pam hab ich noch nie so durchgeblickt :(.
kennst du da vielleicht ne gute doc dazu?

emba
28.08.03, 15:16
hi

ich beschäftige mich gerade mit PAM+LDAP+SAMBA

sehr lecker :ugly:

gefunden habe ich dazu einiges in den dokus, die den meisten distris beiliegen und bei google in kombination mit den diensten, mit denen ich PAM nutzen möchte

zunächst muss sshd gegen PAM gelinkt sein
dann gibt es 2 automatismen

entweder gegen pam.conf oder gegen pam.d/sshd checken
dort wird definiert, gegen was ssh auth. geprüft werden (da kannst dann quasi folgendes machen (hirngespenst):

LDAP Server -> alle user, die darin stehen und keinen passwd/shadow account haben, dürfen sich mittels ssh einloggen - naja, bissl übertrieben für deinen fall, auf jeden aber sehr interessant :D )

mittels /etc/security/access.conf (bei SuSE zumindest), legst du fest, wer was von wo darf - das habe ich aber noch nicht genutzt

und ich glaube pam_unix2.so checkt das file

lasse mich gern eines besseren belehren

greez