ssh felhasználók tiltása

Linux-security

Sziasztok!

Abban kérném a segítségeteket, hogy ssh kapcsolatnál hogyan lehet beállítani hogy csak 1 bizonyos felhasználó tudjon bejelentkezni.
Root-ot kikapcsoltam, de így még mindenki más be tudna lépni. Ezt viszont csak magamnak akarom engedélyezni.

Előre is köszönöm

  • 4979 megtekintés

( N0rr3c | 2007. 01. 17., sze – 10:23 )

ssh_config-ba 

AllowUsers csiga111

______
[É.N.]

( atisvagyok | 2007. 01. 17., sze – 10:24 )

üdv,

pl. így:

/etc/ssh/sshd_config

-ba: 

AllowUsers csiga111, joska, pista

( csiga111 | 2007. 01. 17., sze – 12:41 )

Megpróbáltam, köszönöm működik a dolog. De az lett a problémám, hogy távolról állítottam a gépet (red hat linux), és az ssh restart után csak leállította, és nem indította újra az ssh-t. Másik szerveren is kipróbáltam (mandrake) ott újraindult rendesen, és működik is. Ez általános a red hat-nál, vagy csak nálam nem működik rendesen valami?

a gaz azzal csak az, hogy az sshd ujrainditasakor belehal az inditasba, akkor a masik session is storno...

/usr/sbin/sshd -t Test mode. Only check the validity of the configuration file and sanity of the keys. This is useful for updating sshd reliably as configuration options may change.

> a gaz azzal csak az, hogy az sshd ujrainditasakor belehal az inditasba, akkor a masik session is storno...
Ez miért is volna így? Tapasztalatom szerint nem így van, és nem is szabad hogy így legyen. Az sshd leállítása (rendesen megírt init szkript esetén) csak a fő démont állítja le, amelyik a kapcsolatokat fogadja -- a már nyitott kapcsolatokat kezelő egy-egy konkrét sshd processz bent marad a rendszerben, így a létező kapcsolatok nem szakadnak meg. Az új sshd processz pedig simán indítható.

Egyébként én sem bíznék meg ebben ennyire. Szóval a minimum az, hogy at-tel beidőzítek 10 perccel későbbre egy sshd indítást, aztán ha minden rendben volt, akkor ezt kiszedem az at sorból. Persze az sem árt, ha állandóra van cronból figyelő az ilyen esetekre, avagy több példányban belépsz ilyen kritikus akció esetén, más porton is indítasz sshd-t stb... Pár ilyen szívás után mindenkiben kialakul az a természetes reflex, hogy egy-egy ilyen kétes akció előtt több módon is bebiztosítja magát...

( Tomka | 2007. 01. 24., sze – 12:45 )

hali

ha azt látom, hogy valaki ssh-n próbál belépni a gépre..akko mit csináljak? :)
csak egy felhasználónak engedélyezve az ssh..ez már régóta be van állítva...de az én vok ....
le lehet tiltani az ip-jét?

ubuntu 6.06

Ha még aktuális: Tegyél delayt a tűzfalba úgy hogy 4 egymás utáni kisérlet után az adott porton, kitiltsa az ip-t pár percre például így: 

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 120 --hitcount 4 -j DROP

Így csak 2 percenként tud 4 felhasználó/jelszó párossal próbálkozni.

( csiga111 | 2007. 01. 25., cs – 11:39 )

Nos végre volt időm próbálkozni a dologgal. A tapasztalatom annyi, hogy restart parancs egy stop és egy start-ból áll, úgyhogy ezek szerint működni kellene a dolognak.
De persze nem megy. Másik linuxon azt vettem észre, ha átírtam hogy restart ne indítsa újra akkor is marad még egy aktív ssh amin újra be lehet lépni. Vgyis hogy leálljon ténylegesen akkor 2* kell kiadni a parancsot. REd hat-nál viszont ha kiléptetem akkor nincs több.
Úgy néz ki annál a gépnél marad a biztonságosabb mód, hogy elötte beállítom hogy 1 perc után csináljon egy startot.

A tiltáshoz meg én is az iptablest használom, csak épp úgy hogy az én ip-men kívül mindenki ki van tiltva. Van egy dyn-dns azonosítóm, amit 2 percenként újra lekérdez a szerver, és így végülis bárhonnan be tudok lépni.

( Mono v | 2007. 01. 30., k – 14:07 )

Sziasztok!

A topik címe alapján úgy gondolnám, elférne itt a kérdésem :)

Van egy linuxos szerver, rajta karakteres felületű célprogram, ami login nevet/jelszót kér, sokan használják a cégnél.
Jelenleg az a felállás, hogy van egy rendszer szintű felhasználó, aminek a bash szkriptjéből meghívódik a célprogram. Eddig userek bejelentkeztek ssh-n ezzel a felhasználónévvel, indult egyből neki a célprogram, oda pedig saját azonosítókkal bejelentkezve élvezkedtek a programban.

Változott a helyzet, egyéb okok miatt most minden felhasználót (nem sok, kb. 20) fel kellene venni egyedi azonosítóval, rendszer szintű felhasználóként. Minden felhasználó bash szkriptjében automatikusan indulna a célprogram. DE.
A felhasználók egy része számára elérhetővé kell hogy maradjon az internet felőli ssh bejelentkezés is, de nagyobb részére viszont tiltani kellene. Azaz néhány felhasználó csak a belső (LAN) hálózatból érhesse el a szervert ssh-n, míg egy másik részük pedig bárhonnan. Aki nem jogosult az internetről való használatra, vagy be sem jelentkezhessen, vagy azonnali logout járjon érte.

Szerintetek ilyen megoldható-e ssh-ból? Akár felpakolnám a konfig fájlba a usereket is, nem gond, de nem tudom, megadható-e az, hogy bizonyos userek milyen forrású hálózatból jelentkezhetnek be?

Másik elgondolásom a bash szkriptben való SSH kliens IP elbírálás lenne, de erre nem sok tudásom van a gyakorlati megvalósításához :(

Ha ssh tud ilyet, abban tudnátok segíteni, merre induljak el ezzel a dologgal?

Köszi előre is!

man ssh:
"
ssh .....[user@]hostname [command]

When the user's identity has been accepted by the server, the server
either executes the given command, or logs into the machine and gives the
user a normal shell on the remote machine."

Ez alapján, ha mondjuk vki úgy jön be, hogy "ssh xy@hostname /bin/ksh", akkor a .bashrc-t ki tudja kerülni.