Hello,
Az lenne a kérdésem, hogy hogyan lehet megcsinálni, hogy pl. kisjozska felhasználó csak a 22 porton jelszóval, viszont
kismaria egy másik porton publikus kulcsal tudjon csak bejelentkezni.
Ugye, a portoknál a tűzfallal szépen lehet szűrni, viszont a nyilvásnos hálózat felé, nem szeretnék 22 portot és jelszót használni, de szükséges, hogy úgy is elérhető legyen a rendszer.
A koncepció, hogy lesz egy ssh gateway ahol a kulcsok lesznek, de ha az elszál és valami issue van máshol akkor azzal kell foglalkozni és nem várhatunk amíg a backup visszatölti a gateway-t mentésből. Ehhez kell a jelszavas bejelentkezés, ami értelemszerűen 25-50 karakterből álló jelszó lenne, hogy hétköznapi használatra ne legyen alkalmas és a bruteforce se tudja egykönnyen kitalálni (bár ebben még a túzfal is segít a 'recent' modullal).
Van valakinek valami ötlete?
- 5184 megtekintés
Hozzászólások
két sshd instance
- A hozzászóláshoz be kell jelentkezni
ez elég randának tűnik, de most hirtelen nekem sincs értelmesebb ötletem. esetleg használj GoboLinuxot.
szerk: iptables kettéválaszthatná a forgalmat, és akkor nem kell külön szenvedni portokkal.
- A hozzászóláshoz be kell jelentkezni
mire gondolsz? a tűzfal (iptables) nem vizsgálja hogy ki ill. hogyan (jelszóval vagy kulcsal) jelentkezne be.
az csak a portot, protokolt és TCP/IP flageket tud ellenőrizni.
Hogy oldanád ezt meg iptables-el? Úgy gondolom csak a hálózatot tudod szeparálni a usereket és auth. típust nem.
pl.:
.... -s 172.16.0.0/16 .... -j ACCEPT
.... -s 1.1.1.1 ..... -j ACCEPT
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
Elég idiótán írtam le. Arra gondoltam, hogy az eth(n) interfészen figyelhetne az az sshd, amelyik a kulcsos belépésért felel, az eth(m)-en pedig az, amelyik passworddel engedne be. n!=m. Az iptables meg a kérvényezett port alapján eldönthetné, hogy melyik interfészre lövi tovább a kérést. Ha értenék az informatikához, meg tudnám mondani, hogy ez pl. eth-bondinggal megoldható-e.
- A hozzászóláshoz be kell jelentkezni
ez azt feltételezi hogy két sshd példányom van. aszhiszem, azt sem lehet megmondani az sshd-nek hogy melyik interfacen figyeljen, csak azt hogy milyen IP-n. azaz ehhez két IP és két daemon kellene.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
lásd. http://hup.hu/node/122734#comment-1579944 -> az egész szál a két sshd instanciáról szól. ami egyébként nem tűnik jó megoldásnak.
- A hozzászóláshoz be kell jelentkezni
miért nem a szokásos megoldást választod? ssh+key login alapesetben; ha az szétmegy, akkor pedig (remote)console?
- A hozzászóláshoz be kell jelentkezni
valami más ötlet a két ssh instance-on kívül?
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
========================
PasswordAuthentication no
# plus all other auth types such as ChallengeResponse and
# KbdInteractive...
Match Address 192.168.0.*
PasswordAuthentication yes
========================
Ezt kiprobaltam es mukszik. Nyilvan a privat cimet publikus cimre kell cserelni.
Szoval ha van kulcs akkor beenged, ha nincs kulcs akkor ellenorzi a Match Address-t es ha egyenlo akkor felajanlja a password authentikaciot is. Ha a Match address nem egyezik meg es nincs kulcs, akkor access denied van.
Extra portot hozza lehet adni a port-al, ha esetleg kellene meg az is.
Port 22
Port 2222
Port etc...
- A hozzászóláshoz be kell jelentkezni