root-Login von spezifischem Host?

[EdRoxter]

Mahlzeit!

Ich habe mir für private Zwecke von einem Bekannten ein kleines FreeBSD-Jail auf einem seiner Server abgezwackt. Nun möchte ich das gerne von ihm backuppen lassen - dazu benötigt er bei seinem Backup-System aber root-Zugriff auf mein Jail, damit sein Backupskript auf meinen Kram zugreifen kann.

Ich möchte aber seeeehr ungerne global root-Login erlauben. Gibt es also bei OpenSSH von Haus aus eine Möglichkeit, root-Login nur für eine spezifische Client-IP zu erlauben?

Das Wälzen der Dokumentation hat mich da nicht wirklich weitergebracht und bevor ich mit sowas anfange wie zwei Instanzen mit unterschiedlichen Konfigurationen oder irgendeine (mir eher unangenehme) Lösung mit xinetd zu basteln, wollte ich nur kurz nachfragen, ob jemand nicht noch einen Denkansatz hat, wie man das elegant lösen kann.

Gruß, Nico

[Joe User]

http://www.freebsd.org/doc/en/books/han ... enssh.html 14.11.9

[EdRoxter]

Huch, diese Syntax für AllowUsers war mir nicht bekannt und ich hab sie offenbar übersehen. Danke, super!

[Joe User]

Deswegen macht es auch keinen Sinn mehr, OpenSSH gegen TCPWrapper zu linken.

[daemotron]

Mal ne blöde Frage - wenn Dein Bekannter root auf dem Server ist, wieso benötigt er dann einen root-Zugang per SSH zum Jail? Er könnte doch einfach jexec nutzen...

[Joe User]

Ähm, er hat doch ohnehin vollen Zugriff auf das Dateisystem, wozu also dann noch root-Rechte im Jail?

[daemotron]

Weil man von außen keine File-Handles auf Dateien innerhalb eines Jails öffnen möchte... (siehe http://www.bsdforen.de/showthread.php?t=22123)

[EdRoxter]

Meines Wissens fährt er eine backupserver-seitige Pull-Strategie, sprich, seine Backupserver ziehen sich via rsync über SSH die Backups von seinen verschiedenen Kisten zusammen. Da kommt er als unprivilegierter Systemuser nicht sehr weit...

[daemotron]

Meines Wissens fährt er eine backupserver-seitige Pull-Strategie, sprich, seine Backupserver ziehen sich via rsync über SSH die Backups von seinen verschiedenen Kisten zusammen. Da kommt er als unprivilegierter Systemuser nicht sehr weit...

Wenn ein SSHd im "Haupt"-System läuft, kommt er per root-Login dort ja problemlos an alle Daten Deines Jails heran. Wenn er dort "pullt", ist er unabhängig davon, was seine "Gäste" an der Konfiguration verbiegen. Nur deswegen hat mich das etwas gewundert... Natürlich muss man dabei auf File Handles achtgeben, aber dafür setzt man dann i.d.R. einfach nullfs-Mounts ein. Doch das wird hier langsam ein bisschen OT ;-)

[EdRoxter]

Ich hab keine Ahnung, was er mit dem Hostsystem genau anstellt - das Jail ist nur eine Art kleine Spielwiese/Testsystem für einen Freund und mich ohne allzu sensible Daten, bei denen es aber zumindest nervig wäre, wenn sie verloren gingen. Nichtsdestotrotz wär's natürlich schon allein aus Prinzip eher ungut, wenn ich dem ganzen Internet quasi schonmal zeige, wo sich das Schloss am Tor befindet - daher meine Frage nach Adress(raum)beschränkung fürs Root-Login. ;)

[Joe User]

Und die Warnung im Handbuch nicht vergessen ;)

[oxygen]

Ich möchte aber seeeehr ungerne global root-Login erlauben. Gibt es also bei OpenSSH von Haus aus eine Möglichkeit, root-Login nur für eine spezifische Client-IP zu erlauben?

Also solange man eh nur Anmeldung per Key erlaubt, tut das gar nicht weh.

[EdRoxter]

Problem dabei: Login via password/PAM muss für einige unprivilegierte User möglich sein.

Ich hab's jetzt mal mit

Code: Select all

PermitRootLogin without-password

probiert und schau, ob der Backup-Server via pubkey-auth trotzdem noch reinkommt.

Müsste meinem logischen Verständnis nach so funktionieren, oder?

[Joe User]

Funktioniert, aber PAM will man bei OpenSSH nicht, siehe Kommentar in der Original-Config ;)

[EdRoxter]

Arg, stimmt, da war was. Brauch ich sowieso nicht, password reicht vollkommen für die User. Danke für den Hinweis, ist aus. :)