/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
sshd config?
Fra : Jacob Tranholm


Dato : 22-02-05 23:37

Jeg har et lille problem med sshd. For computerne på mit lokalnetværk skal
det (helst) være muligt at logge ind som root, men for alle andre computere
(på internettet) skal det kun være muligt at logge ind med ét af
brugernavnene på netværket. Jeg leder således efter en funktion, der
ligner:

PermitRootLogin "kun fra 192.168.1.0 (og evt. 127.0.0.1)"

Hvordan gør man dette?


 
 
Sune Vuorela (22-02-2005)
Kommentar
Fra : Sune Vuorela


Dato : 22-02-05 23:50

On 2005-02-22, Jacob Tranholm <jacob_tranholm@hotmail.com> wrote:
> Jeg har et lille problem med sshd. For computerne på mit lokalnetværk skal
> det (helst) være muligt at logge ind som root, men for alle andre computere
> (på internettet) skal det kun være muligt at logge ind med ét af
> brugernavnene på netværket. Jeg leder således efter en funktion, der

Skal du ikke bare bytte om på to kommandoer:
i stedet for :
~$ su -
~# ssh <min computer>

så gør du:
~$ ssh <min computer>
~$ su -

--
Sune

Jacob Tranholm (23-02-2005)
Kommentar
Fra : Jacob Tranholm


Dato : 23-02-05 00:15

Sune Vuorela wrote:

> On 2005-02-22, Jacob Tranholm <jacob_tranholm@hotmail.com> wrote:
>> Jeg har et lille problem med sshd. For computerne på mit lokalnetværk
>> skal det (helst) være muligt at logge ind som root, men for alle andre
>> computere (på internettet) skal det kun være muligt at logge ind med ét
>> af brugernavnene på netværket. Jeg leder således efter en funktion, der
>
> Skal du ikke bare bytte om på to kommandoer:
> i stedet for :
> ~$ su -
> ~# ssh <min computer>
>
> så gør du:
> ~$ ssh <min computer>
> ~$ su -
>

Selvfølgeligt er det muligt, men det har bl.a. en relation til at jeg ofte
anvender scp til at kopiere filer fra en computer til den anden, og her kan
det været hensigtsmæssigt at kunne skrive med root-rettigheder.


Michael Knudsen (22-02-2005)
Kommentar
Fra : Michael Knudsen


Dato : 22-02-05 23:51

Jacob Tranholm wrote:
> Jeg har et lille problem med sshd. For computerne på mit lokalnetværk skal
> det (helst) være muligt at logge ind som root, men for alle andre computere
> (på internettet) skal det kun være muligt at logge ind med ét af
> brugernavnene på netværket. Jeg leder således efter en funktion, der
> ligner:
>
> PermitRootLogin "kun fra 192.168.1.0 (og evt. 127.0.0.1)"
>
> Hvordan gør man dette?

To loesninger:

   1) Koer to sshd'er, der lytter paa hver sin ip eller port
   2) Tillad root login men kun via noegler, og begraens disse
   noegler til den oenskede IP-range:

Fra sshd_config(5):

   PermitRootLogin
      Specifies whether root can log in using ssh(1). The
      argument must be ``yes'', ``without-password'',
      ``forced-commands-only'' or ``no''. The default is
      ``yes''.

Dvs. du bruger ``PermitRootLogin without-password'' eller
``forced-commands-only''. Sidstnaevnte er velegnet til backupscripts og
lignende.

Se evt. disse slides:

   http://sunsite.dk/~mk/SSH-AaUUG20041019/mgp00042.html

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

Michael Knudsen (22-02-2005)
Kommentar
Fra : Michael Knudsen


Dato : 22-02-05 23:55

Michael Knudsen wrote:
[..]
> To loesninger:
>
> 1) Koer to sshd'er, der lytter paa hver sin ip eller port

Du kan envidere bruge direktiverne ``DenyGroups'', ``DenyUsers'',
``AllowGroups'' og ``AllowUsers'' til dette.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

Jacob Tranholm (23-02-2005)
Kommentar
Fra : Jacob Tranholm


Dato : 23-02-05 01:03

Michael Knudsen wrote:
>
> To loesninger:
>
> 1) Koer to sshd'er, der lytter paa hver sin ip eller port
> 2) Tillad root login men kun via noegler, og begraens disse
> noegler til den oenskede IP-range:
>
> Fra sshd_config(5):
>
> PermitRootLogin
> Specifies whether root can log in using ssh(1). The
> argument must be ``yes'', ``without-password'',
> ``forced-commands-only'' or ``no''. The default is
> ``yes''.
>
> Dvs. du bruger ``PermitRootLogin without-password'' eller
> ``forced-commands-only''. Sidstnaevnte er velegnet til backupscripts og
> lignende.
>
> Se evt. disse slides:
>
> http://sunsite.dk/~mk/SSH-AaUUG20041019/mgp00042.html
>
> Mvh. Michael.

Af dine to valgmuligheder lyder 2'eren umiddelbart mest tiltalende. Jeg har
tidligere konstrueret "nøgler", der tillader overførsler vha. rsync uden
angivelse af password (har anvendt guiden på http://www.jdmz.net/ssh/ til
dette formål). Men dette har altid været filer, der bliver overført af en
bruger (og ikke som root)...

Lad os antage at jeg konstruerer denne "nøgle". Hvordan forhindrer jeg så
computere, der ikke har denne nøgle, i at logge ind som root.


Michael Knudsen (23-02-2005)
Kommentar
Fra : Michael Knudsen


Dato : 23-02-05 11:39

On 2005-02-23, Jacob Tranholm <jacob_tranholm@hotmail.com> wrote:
> Lad os antage at jeg konstruerer denne "nøgle". Hvordan forhindrer jeg så
> computere, der ikke har denne nøgle, i at logge ind som root.

PasswordAuthentication no

Jeg er selv vant til, at man kun kan logge paa med noegler, saa jeg
havde ikke lige overvejet, om det er et problem. Hvis det er det, maa du
koere med to sshd'er, som lytter paa hver sin IP (ListenAddress).
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

Jacob Tranholm (23-02-2005)
Kommentar
Fra : Jacob Tranholm


Dato : 23-02-05 17:12

Michael Knudsen skrev:

> PasswordAuthentication no

> Jeg er selv vant til, at man kun kan logge paa med noegler, saa jeg
> havde ikke lige overvejet, om det er et problem. Hvis det er det, maa du
> koere med to sshd'er, som lytter paa hver sin IP (ListenAddress).

Bare lige for at jeg kan forstå det: Jeg opretter nøgler og lægger dem på
alle de netværkscomputere, hvorfra jeg ønsker at kunne logge ind på
serveren.
Men hvis jeg nu besøger min tante i langbortistan og tilfældigvis har brug
for et dokument fra serveren er det ikke muligt at logge ind, da nøglen
ikke ligger på hendes computer.

Min server er belastet nok og selvom 2*sshd ikke kræver meget af
computeren, vil jeg fortsat mene, at det er overdrevet...

Min frygt er ret ligetil sikkerhed. Det er for nemt hvis en hacker bare
kan logge ind som root; hvis han/hun først skal gætte brugernavnene, gætte
bruger-password og efterfølgende gætte root-password vil jeg føle mig mere
sikker.

Jeg tror, at jeg i stedet laver en phantom-brugerkonto, der udstyret med
sudo rettigheder til udførelse af forskellige scripts kan udføre de
ønskede opgaver. Og så lukkes der for root-kontoen...



Jacob Tranholm (23-02-2005)
Kommentar
Fra : Jacob Tranholm


Dato : 23-02-05 17:45

Michael Knudsen skrev:

> PasswordAuthentication no

> Jeg er selv vant til, at man kun kan logge paa med noegler, saa jeg
> havde ikke lige overvejet, om det er et problem. Hvis det er det, maa du
> koere med to sshd'er, som lytter paa hver sin IP (ListenAddress).

Jeg tror, at jeg har fundet løsningen på mit oprindelige problem ved
anvendelse af blot én sshd og ingen nøgler. Det er beskrevet her:
http://www.tek-tips.com/viewthread.cfm?qid=962381&page=9



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste