SSH für Netzintern alle User außerhalb only 1

Excelsus · 10. Januar 2009

Hallo zusammen,

ich habe nen eigenen Server zuhause stehen, der ist auch von außen Erreichbar nun stört es mich aber, wenn ich von meinem Arbeitsrechner mich immer nur mit dem einen Useranmelden kann auch wenn die Kiste direkt neben mir Steht.

Also kurz gesagt:

WAN:

SSH-User

Lan:
Root
XXX
SDS
usw.

Gibt es irgendwie eine Einstellung in der Config die ich noch nicht gesehen/gefunden habe?

So Long

Anzeige

Yoda · 10. Januar 2009

AW: SSH für Netzintern alle User außerhalb only 1

Kannst du das spezifizieren?

Root-Logins über ssh sind zum einen automatisch deaktiviert und zum anderen sowieso systemgefährdend. Ich muss auch arbeitlich bedingt, viel auf Servern arbeiten und habe dort lieber einen Useraccount, der in /etc/sudoers so eingetragen ist, dass er nach Passwortabfrage alles machen darf, als dass ich mich direkt per root über ssh einloggen darf.
Das PW für root zu bruteforcen ist relativ einfach, zwei PWs zu bruteforcen (einmal den normalen User für ssh und einmal für root), bzw. erst einmal den Usernamen rausfinden, der überhaupt auf die Kiste per ssh darf, ist dann doch schon schwieriger.
Ansonsten schau dir mal die /etc/ssh/ssh_config an, wenn du root auch SSH-Zugriff erlauben willst
Steht alles dort drin :>

Excelsus · 11. Januar 2009

AW: SSH für Netzintern alle User außerhalb only 1

Hi,

ja das weiß ich ja. Ich meine es aber gaaaaaanz Anders xD

Also pass auf.

Mein Homeserver ist per DynDNS eintrag von außen Erreichbar. Also ich kann mich da auch anmelden alles.

Ich habe zur Zeit nur einen User meinen SSH User. den ich wirklih nur zum Anmelden nehme.

Aber wenn ich zuhause bin also im Lan bin, brauche ich ja nicht wirklich so ne Krasse sicherheit. Weil ich schlafe sozusagen auf dem Server

Und nun ist meine Frage halt folgende:

Kann man Spezifizieren ob sich ein User wenn er 192.168.x.x ist sich als Root direkt Anmelden darf aber wer nicht von dort kommt sich "nur" mit dem ssh user Anmelden darf/muss.

Also kurz gesagt:

LAN -> Ip 192.168.x.x - 192.168.x.x Subnet: 255.255.255.0 <-- darf sich direkt per root oder anderen Usern Anmelden
Wan -> also alles was nicht von da oben kommt "MUSS" den ssh user nehmen.

Weil ich wohn in ner WG und hier sind 2 Leute ^^ da ists ja ehrlich gesagt egal ob man Intern sich direkt per Root anmelden darf oder nicht.

Nur halt WAN soll sich nur per SSH User anmelden dürfen.

Hoffe ist Verständlich!

Nosferatu · 11. Januar 2009

AW: SSH für Netzintern alle User außerhalb only 1

Nute doch einfach Key Authentication:

Zitat von http://www.supportnet.de/faqsthread/806:

Automatisches Login mit SSH

Kann ich mich mit SSH auch einloggen, ohne jedes mal mein Passwort eingeben zu müssen? SSH verwendet eine Public-Key Verschlüsselung. Genauso wie per Passwort kann man sich also mittels öffentlichem Schlüssel einem anderen Rechner gegenüber eindeutig identifizieren. Damit man dieses Feature verwenden kann (RSA- oder DSA-Authentifizierung) muss man zuerst sein eigenes Schlüsselpaar erzeugen:

rechner1:~# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
91:95:c0:a0:24:02:16:e0:7d:d4:78:60:d4:d0:60:a8 root@rechner1
rechner1:~#

Um Passworteingaben zu verhindern auf die Frage nach einer "Passphrase" einfach mit "Enter" antworten. Dasselbe gilt auch für alle anderen Fragen: die Voreinstellungen sind korrekt. Ausserdem hat man in seinem Homeverzeichnis (in obigem Beispiel wurde ssh-keygen als root ausgeführt - funktioniert aber als jeder beliebige Benutzer!) ein Verzeichnis .ssh in dem sich neben known_hosts (die Datei in der alle SSH-Server Fingerabdrücke gespeichert werden) auch noch folgende Dateien:

rechner1:~# ls .ssh
id_rsa id_rsa.pub known_hosts
rechner1:~#

id_rsa enthält den privaten Schlüssel, id_rsa.pub den öffentlichen. Um ohne Passwort auf einen Server zu kommen, muss man nur noch den öffentlichen Schlüssel auf den Server kopieren und dort im Homeverzeichnis im Unterverzeichnis .ssh der Datei authorized_keys2 hinzufügen. Wenn diese Datei nicht existiert, dann muss sie einfach neu erstellt werden! (Immer eine Zeile pro Schlüssel!).

rechner1:~# scp .ssh/id_rsa.pub rechner2.mein.lan:~/
root@rechner2.mein.lan´s password:
id_rsa.pub 100% |**********************************************| 222 00:00
rechner1:~# ssh rechner2.mein.lan
root@rechner2.mein.lan´s password:
Last login: Fri Mar 28 15:54:24 2003 from rechner1
Have a lot of fun...
server:~ # cat id_rsa.pub >> .ssh/authorized_keys2
server:~ # exit
logout
Connection to rechner2.mein.lan closed.
rechner1:~# ssh rechner2.mein.lan
Last login: Fri Mar 28 18:20:44 2003 from rechner1
Have a lot of fun...
rechner2~ #

Wie man an der letzten Zeile sehen kann, funktioniert das passwortlose Login bereits!

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Key-Based SSH Logins With PuTTY | HowtoForge - Linux Howtos and Tutorials

SSH Tutorial for Linux - Support Documentation

Nützliche Suchen

SSH für Netzintern alle User außerhalb only 1

Videos zum Themenbereich