RootForum Community

Hallo,

ist es möglich, den Shell-Zugriff von bestimmten IP-Adressen/Servernamen zu unterbinden?

Vergleichbar mit einer HTACCESS

deny from 217.160.10.10

oder so

Jupp.

Das kannst du via PAM machen. Aber vorsichtig bei der Konfiguration sein..

konfig unter
/etc/security/access.conf

Aktivieren durch eintrag in /etc/pam.d/sshd
account required pam_access.so

z.b.: So kannste beispielweise root auch komplett aussperren. Und dann nur via user und "su"...

Gruß
Mark

Klingt ja gut, was trage ich denn dort genau ein?

Ã?hm.

Schau mal bitte in die access.conf.

Dort steht es genau beschrieben.

Sowas wie:
+:user:ALL EXCEPT 123.123.123.123 .domain.tld ...

Um root komplett auszusperren, z.B.:
-:root:ALL EXCEPT tty1 console <reserve_ip>

(alles hinter EXCEPT ist, damit man einloggen kann, wenn man am rechner sitzt, eventuell mal für die service mitarbeiter in deinem RZ nötig :))

Wie gesagt: Beispiele sind da auch in der access.conf

gruß
mark

Okay, vielen dank schon mal... So schnell habe ich hier noch nie hilfe bekommen....

Ergänzung: Wenn du Debian benutzt, kannst du auch /etc/hosts.allow und /etc/hosts.deny einsetzen, da der sshd anscheinend gegen tcp_wrapper gelinkt ist. Wie das bei anderen Distris ist, weiss ich nicht... ist aber jedenfalls für Anfänger einfacher als PAM.

habe jetzt einen Eintrag so geschrieben

- :ALL:IPADRESSE

Das funktionert

( ist redhat 8 )

Louis4web wrote:habe jetzt einen Eintrag so geschrieben

- :ALL:IPADRESSE

Das funktionert

( ist redhat 8 )

:) yepp, funktioniert prima.

Habe eben 'mal folgendes in die acces.conf eingetragen

-:ALL:ALL EXCEPT .dip.t-dialin.net .arcor-ip.net

Danach war ein Einloggen nur noch aus obigen Netzen möglich - soll es ja auch ;)

Am Ende der eingetragenen Zeile, einen CR - 1*Enter-Taste drücken - einfügen.
Ohne diesen CR kam bei mir im log.file warn folgende Fehlermeldung:

pam_access[26946]: //etc/security/access.conf: line 59: missing newline or line too long

Greets Stef. :)

Louis4web wrote:ist es möglich, den Shell-Zugriff von bestimmten IP-Adressen/Servernamen zu unterbinden?

Ja. Zum Beispiel (gibt bestimmt noch andere Möglichkeiten):

Der User muss einen SSH-Key erstellen, mit dem er sich einloggen kann.
Den *public* key kopiert er auf dem Server in ~/.ssh/authorized_keys (eine Zeile!) und schreibt davor

from="112.223.234.135" #######################

wobei die "#" die ersten Zeichen des Keys sind.

Beispiel: http://www.derkeiler.com/Mailing-Lists/ ... /0012.html

Danach stellst du das Passwort von dem User auf etwas unmögliches ein ("!" in /etc/shadow). Dann muss er sich mit dem Key authentifizieren und das geht nur noch von der angegebenen IP.


Funktioniert aber natürlich nur, wenn der User es auch *will* (denn er kann sein Passwort ja wieder ändern, bzw. das Keyfile löschen). Sehr nützlich wenn du eine feste IP hast und den root-Zugriff absichern willst.

Danach stellst du das Passwort von dem User auf etwas unmögliches ein ("!" in /etc/shadow). Dann muss er sich mit dem Key authentifizieren und das geht nur noch von der angegebenen IP.

Z.B. per passwd -l USERNAME