Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-02-21 21:42:48

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

ssh: logowanie na roota tylko z sieci lokalnej

Probuje cos takiego wykombinowac jednakze nie bardzo chce mi to wyjsc. To co chce osiagnac to logowanie na roota tylko z sieci lokalnej i logowanie na kazdego innego uzytkownika z dowolnego hosta.

W konfiguracji sshd dodalem cos takiego

Kod:

DenyUsers root@!192.168.1.*
AllowUsers *@*

Co wg mnie powinno dac pozadany przeze mnie efekt jednakze w dalszym ciagu moge sie logowac na roota z dowolnego miejsca, prosze o rady jak to rozwiazac.
W logach nie loguje sie nic oprocz tego ze user sie pomyslnie zalogowal. :(

Offline

 

#2  2011-02-21 21:51:53

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

ListenAddress IP_LAN

Offline

 

#3  2011-02-21 21:58:42

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

ListenAdress 192.168.1.100

Nie pomoglo.

Offline

 

#4  2011-02-21 22:15:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: ssh: logowanie na roota tylko z sieci lokalnej

Co do roota - to nigy w ssh nie widzialem takiej opcji, ale nieźle się sprawdza klucz DSA lub RSA dla roota -
W wersji openssh-5.6_p1-r2 odpowiada za to parametr

Kod:

PermitRootLogin without-password

W którejś ze starszych wersji (dawno temu) było to rsa-only.

Ostatnio edytowany przez Jacekalex (2011-02-21 22:21:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2011-02-21 22:59:57

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

Re: ssh: logowanie na roota tylko z sieci lokalnej

Wyczytalem taka mozliwosc w manualu jednakze wolalbym zrealizowac to na zasadzie user/pw.

Offline

 

#6  2011-03-01 14:20:03

  Luc3k - Użytkownik

Luc3k
Użytkownik
Zarejestrowany: 2009-10-09
Serwis

Re: ssh: logowanie na roota tylko z sieci lokalnej

To rozwiązanie może być zbyt restrykcyjne dla Ciebie. Ja puszczam po ssh tylko wybrane adresy ip.

Kod:

iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 10.0.0.X -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -s 10.0.0.Y -j ACCEPT
.
.
.

Ostatnio edytowany przez Luc3k (2011-03-01 14:20:33)

Offline

 

#7  2011-03-01 17:51:17

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kiedyś gdzieś czytałem że w IPTABLES można zaglądać jaki tekst jest przesyłany może w tą stronę

Offline

 

#8  2011-03-01 19:57:34

  tomii - Członek DUG

tomii
Członek DUG
Zarejestrowany: 2007-12-01

Re: ssh: logowanie na roota tylko z sieci lokalnej

A może "match" , wg dokumentacji "The arguments to Match are one or more criteria-pattern pairs.
             The available criteria are User, Group, Host, and Address." ustawień warunkowych też jest kilka wiec mozę się uda ?

Offline

 

#9  2011-03-01 22:05:01

  lessmian - Użytkownik

lessmian
Użytkownik
Skąd: Kraków
Zarejestrowany: 2009-09-25

Re: ssh: logowanie na roota tylko z sieci lokalnej

A może tak:

Kod:

AllowUsers root@192.168.1.* !root@*

Wygląda na działające.

Offline

 

#10  2011-03-06 12:13:38

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

Re: ssh: logowanie na roota tylko z sieci lokalnej

U mnie taka kombinacja AllowUsers powoduje ze moge sie zalogowac z lokalnej sieci tylko na roota a z zewnetrznej na nic, logi:

root z lokalnej:

Kod:

Mar  6 12:06:31 czupakabra sshd[30463]: Accepted password for root from 192.168.1.10 port 49341 ssh2
Mar  6 12:06:31 czupakabra sshd[30463]: pam_unix(sshd:session): session opened for user root by (uid=0)

zwykly uzytkownik z lokalnej:

Kod:

Mar  6 12:07:25 czupakabra sshd[30474]: User kuebk from 192.168.1.10 not allowed because not listed in AllowUsers
Mar  6 12:07:25 czupakabra sshd[30474]: Failed none for invalid user kuebk from 192.168.1.10 port 49349 ssh2
Mar  6 12:07:27 czupakabra sshd[30474]: pam_ldap: error trying to bind as user "uid=kuebk,ou=Users,dc=kubkomowa,dc=pl" (Invalid credentials)
Mar  6 12:07:27 czupakabra sshd[30474]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.10  user=kuebk
Mar  6 12:07:28 czupakabra sshd[30474]: Failed password for invalid user kuebk from 192.168.1.10 port 49349 ssh2

root z zewnetrznej:

Kod:

Mar  6 12:09:15 czupakabra sshd[30492]: reverse mapping checking getaddrinfo for *.*.*.* [213.*.*.*] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar  6 12:09:15 czupakabra sshd[30492]: User root from 213.*.*.* not allowed because not listed in AllowUsers
Mar  6 12:09:15 czupakabra sshd[30492]: Failed none for invalid user root from 213.*.*.* port 4405 ssh2
Mar  6 12:09:17 czupakabra sshd[30492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.*.*.* user=root
Mar  6 12:09:19 czupakabra sshd[30492]: Failed password for invalid user root from 213.*.*.* port 4405 ssh2

zwykly uzytkownik z zewnetrznej:

Kod:

Mar  6 12:09:45 czupakabra sshd[30496]: reverse mapping checking getaddrinfo for *.*.*.* [213.*.*.*] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar  6 12:09:45 czupakabra sshd[30496]: User kuebk from 213.*.*.* not allowed because not listed in AllowUsers
Mar  6 12:09:45 czupakabra sshd[30496]: Failed none for invalid user kuebk from 213.*.*.* port 4406 ssh2
Mar  6 12:09:48 czupakabra sshd[30496]: pam_ldap: error trying to bind as user "uid=kuebk,ou=Users,dc=kubkomowa,dc=pl" (Invalid credentials)
Mar  6 12:09:48 czupakabra sshd[30496]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.*.*.* user=kuebk
Mar  6 12:09:51 czupakabra sshd[30496]: Failed password for invalid user kuebk from 213.*.*.* port 4406 ssh2

Moze to przez to "Invalid credentials" z LDAPa ale jak wywale AllowUsers z konfiguracji demona ssh to nie mam tego bledu. :(

Googlujac wychodzi ze to jednak cos z konfiguracja LDAPa po mojej stronie tylko nie bardzo rozumiem czemu po dodaniu AllowUsers przestaje dzialac dostep do shella dla uzytkownikow z LDAPa a bez tej reguly dostep dziala bez problemu. Tymbardziej dziwne to ze bez problemu wszystko dziala. :(

Ostatnio edytowany przez kuebk (2011-03-06 14:20:19)

Offline

 

#11  2011-03-06 21:24:59

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: ssh: logowanie na roota tylko z sieci lokalnej

logowanie na roota od razu jest niebezpieczne !!!
Nie należy uczyć się złych nawyków.

Offline

 

#12  2011-03-06 22:27:55

  bobycob - Członek z Ramienia

bobycob
Członek z Ramienia
Skąd: Wrocław
Zarejestrowany: 2007-08-15

Re: ssh: logowanie na roota tylko z sieci lokalnej

dokładnie jak pisze Yampress

Zamiast wydziwiać wyłącz możliwość logowania bezpośrednio na konto roota.

Offline

 

#13  2011-03-17 22:19:08

  kuebk - Użytkownik

kuebk
Użytkownik
Zarejestrowany: 2010-11-27

Re: ssh: logowanie na roota tylko z sieci lokalnej

Czy ktos ma pomysl jak rozwiazac ta przypadlosc z LDAPem?

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.011 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00007 SET NAMES latin2
0.00099 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.43.194' WHERE u.id=1
0.00199 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.43.194', 1732598268)
0.00064 SELECT * FROM punbb_online WHERE logged<1732597968
0.00058 SELECT topic_id FROM punbb_posts WHERE id=166446
0.00005 SELECT id FROM punbb_posts WHERE topic_id=18393 ORDER BY posted
0.00063 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18393 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00158 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18393 ORDER BY p.id LIMIT 0,25
0.00123 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18393
Total query time: 0.00793 s