Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-02-21 21:42:48

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

ssh: logowanie na roota tylko z sieci lokalnej

Probuje cos takiego wykombinowac jednakze nie bardzo chce mi to wyjsc. To co chce osiagnac to logowanie na roota tylko z sieci lokalnej i logowanie na kazdego innego uzytkownika z dowolnego hosta.

W konfiguracji sshd dodalem cos takiego

Kod:

DenyUsers root@!192.168.1.*
AllowUsers *@*

Co wg mnie powinno dac pozadany przeze mnie efekt jednakze w dalszym ciagu moge sie logowac na roota z dowolnego miejsca, prosze o rady jak to rozwiazac.
W logach nie loguje sie nic oprocz tego ze user sie pomyslnie zalogowal. :(

Offline

 

#2  2011-02-21 21:51:53

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

ListenAddress IP_LAN

Offline

 

#3  2011-02-21 21:58:42

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

ListenAdress 192.168.1.100

Nie pomoglo.

Offline

 

#4  2011-02-21 22:15:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: ssh: logowanie na roota tylko z sieci lokalnej

Co do roota - to nigy w ssh nie widzialem takiej opcji, ale nieźle się sprawdza klucz DSA lub RSA dla roota -
W wersji openssh-5.6_p1-r2 odpowiada za to parametr

Kod:

PermitRootLogin without-password

W którejś ze starszych wersji (dawno temu) było to rsa-only.

Ostatnio edytowany przez Jacekalex (2011-02-21 22:21:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2011-02-21 22:59:57

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

Re: ssh: logowanie na roota tylko z sieci lokalnej

Wyczytalem taka mozliwosc w manualu jednakze wolalbym zrealizowac to na zasadzie user/pw.

Offline

 

#6  2011-03-01 14:20:03

  Luc3k - Użytkownik

Luc3k
Użytkownik
Zarejestrowany: 2009-10-09
Serwis

Re: ssh: logowanie na roota tylko z sieci lokalnej

To rozwiązanie może być zbyt restrykcyjne dla Ciebie. Ja puszczam po ssh tylko wybrane adresy ip.

Kod:

iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 10.0.0.X -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -s 10.0.0.Y -j ACCEPT
.
.
.

Ostatnio edytowany przez Luc3k (2011-03-01 14:20:33)

Offline

 

#7  2011-03-01 17:51:17

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kiedyś gdzieś czytałem że w IPTABLES można zaglądać jaki tekst jest przesyłany może w tą stronę

Offline

 

#8  2011-03-01 19:57:34

  tomii - Członek DUG

tomii
Członek DUG
Zarejestrowany: 2007-12-01

Re: ssh: logowanie na roota tylko z sieci lokalnej

A może "match" , wg dokumentacji "The arguments to Match are one or more criteria-pattern pairs.
             The available criteria are User, Group, Host, and Address." ustawień warunkowych też jest kilka wiec mozę się uda ?

Offline

 

#9  2011-03-01 22:05:01

  lessmian - Użytkownik

lessmian
Użytkownik
Skąd: Kraków
Zarejestrowany: 2009-09-25

Re: ssh: logowanie na roota tylko z sieci lokalnej

A może tak:

Kod:

AllowUsers root@192.168.1.* !root@*

Wygląda na działające.

Offline

 

#10  2011-03-06 12:13:38

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

Re: ssh: logowanie na roota tylko z sieci lokalnej

U mnie taka kombinacja AllowUsers powoduje ze moge sie zalogowac z lokalnej sieci tylko na roota a z zewnetrznej na nic, logi:

root z lokalnej:

Kod:

Mar  6 12:06:31 czupakabra sshd[30463]: Accepted password for root from 192.168.1.10 port 49341 ssh2
Mar  6 12:06:31 czupakabra sshd[30463]: pam_unix(sshd:session): session opened for user root by (uid=0)

zwykly uzytkownik z lokalnej:

Kod:

Mar  6 12:07:25 czupakabra sshd[30474]: User kuebk from 192.168.1.10 not allowed because not listed in AllowUsers
Mar  6 12:07:25 czupakabra sshd[30474]: Failed none for invalid user kuebk from 192.168.1.10 port 49349 ssh2
Mar  6 12:07:27 czupakabra sshd[30474]: pam_ldap: error trying to bind as user "uid=kuebk,ou=Users,dc=kubkomowa,dc=pl" (Invalid credentials)
Mar  6 12:07:27 czupakabra sshd[30474]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.10  user=kuebk
Mar  6 12:07:28 czupakabra sshd[30474]: Failed password for invalid user kuebk from 192.168.1.10 port 49349 ssh2

root z zewnetrznej:

Kod:

Mar  6 12:09:15 czupakabra sshd[30492]: reverse mapping checking getaddrinfo for *.*.*.* [213.*.*.*] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar  6 12:09:15 czupakabra sshd[30492]: User root from 213.*.*.* not allowed because not listed in AllowUsers
Mar  6 12:09:15 czupakabra sshd[30492]: Failed none for invalid user root from 213.*.*.* port 4405 ssh2
Mar  6 12:09:17 czupakabra sshd[30492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.*.*.* user=root
Mar  6 12:09:19 czupakabra sshd[30492]: Failed password for invalid user root from 213.*.*.* port 4405 ssh2

zwykly uzytkownik z zewnetrznej:

Kod:

Mar  6 12:09:45 czupakabra sshd[30496]: reverse mapping checking getaddrinfo for *.*.*.* [213.*.*.*] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar  6 12:09:45 czupakabra sshd[30496]: User kuebk from 213.*.*.* not allowed because not listed in AllowUsers
Mar  6 12:09:45 czupakabra sshd[30496]: Failed none for invalid user kuebk from 213.*.*.* port 4406 ssh2
Mar  6 12:09:48 czupakabra sshd[30496]: pam_ldap: error trying to bind as user "uid=kuebk,ou=Users,dc=kubkomowa,dc=pl" (Invalid credentials)
Mar  6 12:09:48 czupakabra sshd[30496]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.*.*.* user=kuebk
Mar  6 12:09:51 czupakabra sshd[30496]: Failed password for invalid user kuebk from 213.*.*.* port 4406 ssh2

Moze to przez to "Invalid credentials" z LDAPa ale jak wywale AllowUsers z konfiguracji demona ssh to nie mam tego bledu. :(

Googlujac wychodzi ze to jednak cos z konfiguracja LDAPa po mojej stronie tylko nie bardzo rozumiem czemu po dodaniu AllowUsers przestaje dzialac dostep do shella dla uzytkownikow z LDAPa a bez tej reguly dostep dziala bez problemu. Tymbardziej dziwne to ze bez problemu wszystko dziala. :(

Ostatnio edytowany przez kuebk (2011-03-06 14:20:19)

Offline

 

#11  2011-03-06 21:24:59

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: ssh: logowanie na roota tylko z sieci lokalnej

logowanie na roota od razu jest niebezpieczne !!!
Nie należy uczyć się złych nawyków.

Offline

 

#12  2011-03-06 22:27:55

  bobycob - Członek z Ramienia

bobycob
Członek z Ramienia
Skąd: Wrocław
Zarejestrowany: 2007-08-15

Re: ssh: logowanie na roota tylko z sieci lokalnej

dokładnie jak pisze Yampress

Zamiast wydziwiać wyłącz możliwość logowania bezpośrednio na konto roota.

Offline

 

#13  2011-03-17 22:19:08

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

Re: ssh: logowanie na roota tylko z sieci lokalnej

Czy ktos ma pomysl jak rozwiazac ta przypadlosc z LDAPem?

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)