SSH-Client auf eine IP beschränken

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
simcen
RSAC
Posts: 338
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

SSH-Client auf eine IP beschränken

Post by simcen » 2004-09-17 08:55

Tach zusammen

Wie bereits in einigen Posts angesprochen, habe ich mehrere IP-Adressen auf dem Server verfügbar.

Da dies mein "zentraler" Server ist und ich von da aus mit Key-Auth und Zugriffsteuerung per SSH andere Server administriere, muss ich den SSH-Client dazu bringen können, nur mit der einen/richtigen IP-Adresse nach aussen zu verbinden.

Ich habe bereits gegoogelt, konnte aber keine Konfigurations-Direktive für SSH finden, welche mein Bedürfnis abdeckt.

Ist das überhaupt in der Konfiguration von SSH machbar oder muss ich mit iptables die Source-Adressen der entsprechenden Pakete ändern lassen?

Besten Dank für Hilfe
Gruss aus der kalten Schweiz, Simon

jhnet
Posts: 98
Joined: 2004-07-20 11:43

Re: SSH-Client auf eine IP beschränken

Post by jhnet » 2004-09-17 09:32

Hallo,

ja, das sollte gehen. Die gesuchte Option heisst BindAddress gefolgt vom entsprechenden Interface und muss in der ssh_config Datei auf dem Client angegeben werden. Gleichzeitig sollte die Option UsePrivilegedPort auf "no" gesetzt werden. Alles weitere verrät die manpage "man ssh_config".

Jörg

simcen
RSAC
Posts: 338
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

Re: SSH-Client auf eine IP beschränken

Post by simcen » 2004-09-17 09:45

Besten Dank!

Manchmal wäre es gut, wenn man Schreiner wäre - dann könnte ich das Brett vor dem Kopf durchsägen :roll:

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SSH-Client auf eine IP beschränken

Post by dodolin » 2004-09-21 00:43

Da dies mein "zentraler" Server ist und ich von da aus mit Key-Auth und Zugriffsteuerung per SSH andere Server administriere,
Nur als Denkanregung (auch für andere, die eventuell ähnliches machen oder vorhaben):
Was machst du, wenn dieser eine, zentrale Server mal ausfällt, kaputt ist, nen Plattenschaden hat oder geDoSed wird? Hast du dann alle anderen Server auch gleich mit geDoSed? Kannst du das Backup noch zurückspielen? ...

simcen
RSAC
Posts: 338
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

Re: SSH-Client auf eine IP beschränken

Post by simcen » 2004-09-21 16:22

Mein zentraler Server ist ein sogenannter PUT-Server ;)

(PUT = PRODUCTIVE UNDER TABLE)

Du hast mit deiner Denkanregung, natürlich absolut recht. Wenn ich mich nicht irre, wird bei einer Neuinstallation des Betriebssystem der Fingerprint geändert. Das heisst wenn dein System mal flöten geht, hast du ein Problem.
Ausser man backupt das fingerprint-File und die Key-Files.
Ich denke nicht, dass mein System sich für die "normalen" Root-Server Anwender brauchbar ist.

In meiner Situation ist es anders: mein Administrations-"Server" steht hinter einer NAT-Firewall, und ist somit gegen klassische Angriffe geschützt.