Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Probuje cos takiego wykombinowac jednakze nie bardzo chce mi to wyjsc. To co chce osiagnac to logowanie na roota tylko z sieci lokalnej i logowanie na kazdego innego uzytkownika z dowolnego hosta.
W konfiguracji sshd dodalem cos takiego
DenyUsers root@!192.168.1.* AllowUsers *@*
Co wg mnie powinno dac pozadany przeze mnie efekt jednakze w dalszym ciagu moge sie logowac na roota z dowolnego miejsca, prosze o rady jak to rozwiazac.
W logach nie loguje sie nic oprocz tego ze user sie pomyslnie zalogowal. :(
Offline
ListenAdress 192.168.1.100
Nie pomoglo.
Offline
Co do roota - to nigy w ssh nie widzialem takiej opcji, ale nieźle się sprawdza klucz DSA lub RSA dla roota -
W wersji openssh-5.6_p1-r2 odpowiada za to parametr
PermitRootLogin without-password
W którejś ze starszych wersji (dawno temu) było to rsa-only.
Ostatnio edytowany przez Jacekalex (2011-02-21 22:21:29)
Online
Wyczytalem taka mozliwosc w manualu jednakze wolalbym zrealizowac to na zasadzie user/pw.
Offline
To rozwiązanie może być zbyt restrykcyjne dla Ciebie. Ja puszczam po ssh tylko wybrane adresy ip.
iptables -I INPUT -p tcp --dport 22 -j DROP iptables -I INPUT -p tcp --dport 22 -s 10.0.0.X -j ACCEPT iptables -I INPUT -p tcp --dport 22 -s 10.0.0.Y -j ACCEPT . . .
Ostatnio edytowany przez Luc3k (2011-03-01 14:20:33)
Offline
A może "match" , wg dokumentacji "The arguments to Match are one or more criteria-pattern pairs.
The available criteria are User, Group, Host, and Address." ustawień warunkowych też jest kilka wiec mozę się uda ?
Offline
A może tak:
AllowUsers root@192.168.1.* !root@*
Wygląda na działające.
Offline
U mnie taka kombinacja AllowUsers powoduje ze moge sie zalogowac z lokalnej sieci tylko na roota a z zewnetrznej na nic, logi:
root z lokalnej:
Mar 6 12:06:31 czupakabra sshd[30463]: Accepted password for root from 192.168.1.10 port 49341 ssh2 Mar 6 12:06:31 czupakabra sshd[30463]: pam_unix(sshd:session): session opened for user root by (uid=0)
zwykly uzytkownik z lokalnej:
Mar 6 12:07:25 czupakabra sshd[30474]: User kuebk from 192.168.1.10 not allowed because not listed in AllowUsers Mar 6 12:07:25 czupakabra sshd[30474]: Failed none for invalid user kuebk from 192.168.1.10 port 49349 ssh2 Mar 6 12:07:27 czupakabra sshd[30474]: pam_ldap: error trying to bind as user "uid=kuebk,ou=Users,dc=kubkomowa,dc=pl" (Invalid credentials) Mar 6 12:07:27 czupakabra sshd[30474]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.10 user=kuebk Mar 6 12:07:28 czupakabra sshd[30474]: Failed password for invalid user kuebk from 192.168.1.10 port 49349 ssh2
root z zewnetrznej:
Mar 6 12:09:15 czupakabra sshd[30492]: reverse mapping checking getaddrinfo for *.*.*.* [213.*.*.*] failed - POSSIBLE BREAK-IN ATTEMPT! Mar 6 12:09:15 czupakabra sshd[30492]: User root from 213.*.*.* not allowed because not listed in AllowUsers Mar 6 12:09:15 czupakabra sshd[30492]: Failed none for invalid user root from 213.*.*.* port 4405 ssh2 Mar 6 12:09:17 czupakabra sshd[30492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.*.*.* user=root Mar 6 12:09:19 czupakabra sshd[30492]: Failed password for invalid user root from 213.*.*.* port 4405 ssh2
zwykly uzytkownik z zewnetrznej:
Mar 6 12:09:45 czupakabra sshd[30496]: reverse mapping checking getaddrinfo for *.*.*.* [213.*.*.*] failed - POSSIBLE BREAK-IN ATTEMPT! Mar 6 12:09:45 czupakabra sshd[30496]: User kuebk from 213.*.*.* not allowed because not listed in AllowUsers Mar 6 12:09:45 czupakabra sshd[30496]: Failed none for invalid user kuebk from 213.*.*.* port 4406 ssh2 Mar 6 12:09:48 czupakabra sshd[30496]: pam_ldap: error trying to bind as user "uid=kuebk,ou=Users,dc=kubkomowa,dc=pl" (Invalid credentials) Mar 6 12:09:48 czupakabra sshd[30496]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.*.*.* user=kuebk Mar 6 12:09:51 czupakabra sshd[30496]: Failed password for invalid user kuebk from 213.*.*.* port 4406 ssh2
Moze to przez to "Invalid credentials" z LDAPa ale jak wywale AllowUsers z konfiguracji demona ssh to nie mam tego bledu. :(
Googlujac wychodzi ze to jednak cos z konfiguracja LDAPa po mojej stronie tylko nie bardzo rozumiem czemu po dodaniu AllowUsers przestaje dzialac dostep do shella dla uzytkownikow z LDAPa a bez tej reguly dostep dziala bez problemu. Tymbardziej dziwne to ze bez problemu wszystko dziala. :(
Ostatnio edytowany przez kuebk (2011-03-06 14:20:19)
Offline
logowanie na roota od razu jest niebezpieczne !!!
Nie należy uczyć się złych nawyków.
Offline
dokładnie jak pisze Yampress
Zamiast wydziwiać wyłącz możliwość logowania bezpośrednio na konto roota.
Offline
Czy ktos ma pomysl jak rozwiazac ta przypadlosc z LDAPem?
Offline
Strony: 1