Forum Debian Users Gang

kuebk · 2011-02-21 21:42:48

Probuje cos takiego wykombinowac jednakze nie bardzo chce mi to wyjsc. To co chce osiagnac to logowanie na roota tylko z sieci lokalnej i logowanie na kazdego innego uzytkownika z dowolnego hosta.

W konfiguracji sshd dodalem cos takiego

Kod:

DenyUsers root@!192.168.1.*
AllowUsers *@*

Co wg mnie powinno dac pozadany przeze mnie efekt jednakze w dalszym ciagu moge sie logowac na roota z dowolnego miejsca, prosze o rady jak to rozwiazac.
W logach nie loguje sie nic oprocz tego ze user sie pomyslnie zalogowal. :(

djjanek · 2011-02-21 21:51:53

Kod:

ListenAddress IP_LAN

kuebk · 2011-02-21 21:58:42

Kod:

ListenAdress 192.168.1.100

Nie pomoglo.

Jacekalex · 2011-02-21 22:15:49

Co do roota - to nigy w ssh nie widzialem takiej opcji, ale nieźle się sprawdza klucz DSA lub RSA dla roota -
W wersji openssh-5.6_p1-r2 odpowiada za to parametr

Kod:

PermitRootLogin without-password

W którejś ze starszych wersji (dawno temu) było to rsa-only.

Ostatnio edytowany przez Jacekalex (2011-02-21 22:21:29)

kuebk · 2011-02-21 22:59:57

Wyczytalem taka mozliwosc w manualu jednakze wolalbym zrealizowac to na zasadzie user/pw.

Luc3k · 2011-03-01 14:20:03

To rozwiązanie może być zbyt restrykcyjne dla Ciebie. Ja puszczam po ssh tylko wybrane adresy ip.

Kod:

iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 10.0.0.X -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -s 10.0.0.Y -j ACCEPT
.
.
.

Ostatnio edytowany przez Luc3k (2011-03-01 14:20:33)

djjanek · 2011-03-01 17:51:17

Kiedyś gdzieś czytałem że w IPTABLES można zaglądać jaki tekst jest przesyłany może w tą stronę

tomii · 2011-03-01 19:57:34

A może "match" , wg dokumentacji "The arguments to Match are one or more criteria-pattern pairs.
The available criteria are User, Group, Host, and Address." ustawień warunkowych też jest kilka wiec mozę się uda ?

lessmian · 2011-03-01 22:05:01

A może tak:

Kod:

AllowUsers root@192.168.1.* !root@*

Wygląda na działające.

kuebk · 2011-03-06 12:13:38

U mnie taka kombinacja AllowUsers powoduje ze moge sie zalogowac z lokalnej sieci tylko na roota a z zewnetrznej na nic, logi:

root z lokalnej:

Kod:

Mar  6 12:06:31 czupakabra sshd[30463]: Accepted password for root from 192.168.1.10 port 49341 ssh2
Mar  6 12:06:31 czupakabra sshd[30463]: pam_unix(sshd:session): session opened for user root by (uid=0)

zwykly uzytkownik z lokalnej:

Kod:

Mar  6 12:07:25 czupakabra sshd[30474]: User kuebk from 192.168.1.10 not allowed because not listed in AllowUsers
Mar  6 12:07:25 czupakabra sshd[30474]: Failed none for invalid user kuebk from 192.168.1.10 port 49349 ssh2
Mar  6 12:07:27 czupakabra sshd[30474]: pam_ldap: error trying to bind as user "uid=kuebk,ou=Users,dc=kubkomowa,dc=pl" (Invalid credentials)
Mar  6 12:07:27 czupakabra sshd[30474]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.10  user=kuebk
Mar  6 12:07:28 czupakabra sshd[30474]: Failed password for invalid user kuebk from 192.168.1.10 port 49349 ssh2

root z zewnetrznej:

Kod:

Mar  6 12:09:15 czupakabra sshd[30492]: reverse mapping checking getaddrinfo for *.*.*.* [213.*.*.*] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar  6 12:09:15 czupakabra sshd[30492]: User root from 213.*.*.* not allowed because not listed in AllowUsers
Mar  6 12:09:15 czupakabra sshd[30492]: Failed none for invalid user root from 213.*.*.* port 4405 ssh2
Mar  6 12:09:17 czupakabra sshd[30492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.*.*.* user=root
Mar  6 12:09:19 czupakabra sshd[30492]: Failed password for invalid user root from 213.*.*.* port 4405 ssh2

zwykly uzytkownik z zewnetrznej:

Kod:

Mar  6 12:09:45 czupakabra sshd[30496]: reverse mapping checking getaddrinfo for *.*.*.* [213.*.*.*] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar  6 12:09:45 czupakabra sshd[30496]: User kuebk from 213.*.*.* not allowed because not listed in AllowUsers
Mar  6 12:09:45 czupakabra sshd[30496]: Failed none for invalid user kuebk from 213.*.*.* port 4406 ssh2
Mar  6 12:09:48 czupakabra sshd[30496]: pam_ldap: error trying to bind as user "uid=kuebk,ou=Users,dc=kubkomowa,dc=pl" (Invalid credentials)
Mar  6 12:09:48 czupakabra sshd[30496]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.*.*.* user=kuebk
Mar  6 12:09:51 czupakabra sshd[30496]: Failed password for invalid user kuebk from 213.*.*.* port 4406 ssh2

Moze to przez to "Invalid credentials" z LDAPa ale jak wywale AllowUsers z konfiguracji demona ssh to nie mam tego bledu. :(

Googlujac wychodzi ze to jednak cos z konfiguracja LDAPa po mojej stronie tylko nie bardzo rozumiem czemu po dodaniu AllowUsers przestaje dzialac dostep do shella dla uzytkownikow z LDAPa a bez tej reguly dostep dziala bez problemu. Tymbardziej dziwne to ze bez problemu wszystko dziala. :(

Ostatnio edytowany przez kuebk (2011-03-06 14:20:19)

Yampress · 2011-03-06 21:24:59

logowanie na roota od razu jest niebezpieczne !!!
Nie należy uczyć się złych nawyków.

bobycob · 2011-03-06 22:27:55

dokładnie jak pisze Yampress

Zamiast wydziwiać wyłącz możliwość logowania bezpośrednio na konto roota.

kuebk · 2011-03-17 22:19:08

Czy ktos ma pomysl jak rozwiazac ta przypadlosc z LDAPem?

Forum Debian Users Gang

Ogłoszenie

#1 2011-02-21 21:42:48

kuebk - Użytkownik

ssh: logowanie na roota tylko z sieci lokalnej

Kod:

#2 2011-02-21 21:51:53

djjanek - Użytkownik

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

#3 2011-02-21 21:58:42

kuebk - Użytkownik

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

#4 2011-02-21 22:15:49

Jacekalex - Podobno człowiek...;)

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

#5 2011-02-21 22:59:57

kuebk - Użytkownik

Re: ssh: logowanie na roota tylko z sieci lokalnej

#6 2011-03-01 14:20:03

Luc3k - Użytkownik

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

#7 2011-03-01 17:51:17

djjanek - Użytkownik

Re: ssh: logowanie na roota tylko z sieci lokalnej

#8 2011-03-01 19:57:34

tomii - Członek DUG

Re: ssh: logowanie na roota tylko z sieci lokalnej

#9 2011-03-01 22:05:01

lessmian - Użytkownik

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

#10 2011-03-06 12:13:38

kuebk - Użytkownik

Re: ssh: logowanie na roota tylko z sieci lokalnej

Kod:

Kod:

Kod:

Kod:

#11 2011-03-06 21:24:59

Yampress - Imperator

Re: ssh: logowanie na roota tylko z sieci lokalnej

#12 2011-03-06 22:27:55

bobycob - Członek z Ramienia

Re: ssh: logowanie na roota tylko z sieci lokalnej

#13 2011-03-17 22:19:08

kuebk - Użytkownik

Re: ssh: logowanie na roota tylko z sieci lokalnej

Stopka forum