SSH Zugriff beschränken

Mailings'AT'netzwerk.cc mailings at netzwerk.cc
Son Jun 4 16:17:45 BST 2006

Vorherige Nachricht: SSH Zugriff beschränken
Nächste Nachricht: SSH Zugriff beschränken
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Keywan Najafi Tonekaboni wrote:
> Hallo,
> 
> ich habe einen User gast mit dem passwort gast auf meinem Rechner. Auch
> wenn es einige von euch nun gruseln mag, ich finde es wichtig, dass
> jeder Person die es benötigt ein Zugang zu meinem Rechner möglich ist.
> 
> Nun ja, aber alles sollen diese Leute nicht machen dürfen. Nun war
> jemand auf meinem Rechner, während ich in der Uni am Internet
> angeschlossen war und eine globale IP hatte. Jemand nutze anscheinend
> meinen Rechner um Spam zu versenden. (Hiermit Entschuldigung an alle,
> die Freitag Spam erhalten haben, möglicherweise war es von meinem
> Rechner ;) )
> 
> Nun wurde ich gerne folgende Beschränkung haben: Einloggen nur aus dem
> lokalen Netzbereich, also 255.0.0.0 oder 255.255.0.0 bzw 255.255.255.0,
> je nachdem was in meiner Subnet-Mask steht, aber nie aus 0.0.0.0. Ich
> habe das jetzt als subnetmask angegeben, hoffe ich gehe damit richtig
> um. Mir würde es auch genügen, den Zugang auf Rechnern aus 255.0.0.0 zu
> beschränken.
> 
> Grüße,
> 
> Keywan
> 
> 

Hi Keywan,

mit 255.0.0.0 erlaubst du immer noch 2^24 Clients auf deinen Rechner zu
kommen.

Ich halte das nicht für die beste Lösung.

Ich würde dir vorschlagen den User Gast aufzuklaeren und ihm ein neues
Password zu geben. *hust* ... Gut das war nur Spass.

Aber benötigt der Gastuser auch ein SSH Zugang ? Oder braucht der nur
Samba, ... ?

Jenachdem was der Anwender benötigt reicht es schon in /etc/passwd die
Zeile bei Gast von /bin/bash auf /bin/false zu aendern.

Falls er eine Shell benötigt (nun schuettelt es mich wirklich), aber
kein SSH koennte dir folgende Zeile helfen:

in der /etc/pam.d/ssh

auth       required     pam_listfile.so item=user sense=allow
file=/etc/sshusers-allowed onerr=fail

Nun musst du in /etc/sshusers-allowed nur noch eintragen welcher
Benutzer sich per SSH bei dir einloggen darf.

Eine weitere moeglichkeit besteht darin zu sagen

iptables -P INPUT DROP
iptables -A INPUT -p tcp --source x.x.x.x --dport 22 -m state --state
NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT

x.x.x.x Ist durch eine IP zu erweitern von welcher der extern Zugang
erlaubt ist.

Jede dieser Loesungen koennte dir wahrscheinlich weiterhelfen. Am besten
ist es aber alle Lösungen parallel zu nutzen :)

Hoffe das passt in etwa auf dein Szenario.

Gruss

Sven
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFEgvmY14wE9a+nfwkRAvguAJ9l6FTL0Vv+g8MahscN2ccnt2IK7wCfY1Rs
x6qQmdwmNBjEexrA2O+G1lc=
=Km1Z
-----END PGP SIGNATURE-----

Vorherige Nachricht: SSH Zugriff beschränken
Nächste Nachricht: SSH Zugriff beschränken
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]