Вопросы Теги

Ограничьте вход в систему SSH путем возникновения интерфейса

Только начните создавать свой собственный дистрибутив. Я сделал это для себя, и Вы знаете что? После 4-месячный я имею, тратят на это, я знаю о внутренностях Linux больше, чем парни вокруг меня, которые используют Linux более затем 10 лет.

5
задан 11 September 2009 в 00:07
3 ответа

Это не тестируется, но установка чего-то вроде этого в самом конце sshd_config должен работать:

PasswordAuthentication no
PubkeyAuthentication yes
RSAAuthentication yes

Match Address 192.168.1.0/24
  PasswordAuthentication yes

В основном Вы глобально позволяете автору с открытым ключом, глобально запрещая автору пароля, и затем конкретно повторно позволяя аутентификацию по паролю для любого в 192.168.1.0/24 подсети.

Править: У Вас, вероятно, уже есть первые три строки в другом месте в Вашей конфигурации. Если Вы делаете, они не должны быть добавлены снова. Однако блок "Соответствия" должен быть в конце файла.

Кроме того, RSAAuthentication ключевое слово характерно для SSH v1, который Вы не позволяете, правильно?

8
ответ дан 3 December 2019 в 01:22
  • 1
    эй, Ваш работавший отлично ответ, спасибо. Я просто должен был добавить " Address" между " Match" и IP-адрес. Можно ли отредактировать его для добавления этого к директиве? –  lfaraone 11 September 2009 в 02:58
  • 2
    Хорошая выгода.Готово. –  Insyte 12 September 2009 в 01:30
  • 3
    этот " Соответствие Address" блок превосходен. Я просто использовал его для включения корневых логинов на 192.168.1.0! –  neoice 10 January 2010 в 17:25

Да, я думаю так. Можно использовать директивы AllowUser и MatchUser в sshd_config файле для установки конфигурационных директив в расчете на пользователя.

0
ответ дан 3 December 2019 в 01:22
  • 1
    Но это управляет доступом на основе имени пользователя и хоста без учета какой метод аутентификации they' использование ре. Он хочет управлять, какие методы аутентификации позволяются в зависимости от хоста. –  freiheit 11 September 2009 в 00:32
  • 2
    Я предполагал, что один смог добавлять директивы PasswordAuthentication под MatchUser определенные для пользователя настройки. Haven' t попробовал его, Вы знаете, работало ли это? I' ve к настоящему времени только использовал Chroot и настройки команды силы под MatchUser. –  Devin Ceartas 11 September 2009 в 03:59

Я думаю, что можно сделать эту работу путем конфигурирования sshd с PAM и автором Pubkey, и затем настроить PAM, чтобы только предоставить доступ от определенных подсетей. Этот обман работает, потому что sshd не спрашивает PAM ничто об основанном на ключе авторе.

В/etc/ssh/sshd_config (я думаю, что это значения по умолчанию так или иначе на Ubuntu), что-то как:

PubkeyAuthentication yes
ChallengeResponseAuthentication no
UsePAM yes

В/etc/pam.d/sshd не комментируют pam_access строку (я верю на Ubuntu, это присутствует в правильной последовательности, но прокомментировано):

account required pam_access.so

В/etc/security/access.conf:

+:ALL:192.168.1.0/24

Примечание: Я не протестировал это вообще.

0
ответ дан 3 December 2019 в 01:22

Теги

Похожие вопросы