voiko rajoittaa ssh:n kautta kirjautumista?

[Anssi]

eli haluaisin vähän lisätä tietoturvaa. Ylläpitämälläni koneella on käyttäjiä joilla on todella heppoiset salasanat, joten tahtoisin että vain omilla tunnuksillani pystyy ulkopuolelta ottamaan yhteyden ssh:lla, koska kenenkään muun sitä ei tarvitse voida tehdäkkään... miten tämä voisi onnistua?

[gdm]

yksi sana, "etc/hosts.deny"
toinen sana, "etc/hosts.allow"

Menikö oikein?

http://www.ssh.com/support/documentation/online/ssh/adminguide/32/Configuring_SSH_Secure_Shell_for_TCP_Wrappers_Support.html

Create or edit the /etc/hosts.allow and /etc/hosts.deny files. When a user tries to connect to the SSH Secure Shell server, the TCP wrapper daemon (tcpd) reads the /etc/hosts.allow file for a rule that matches the client's hostname or IP. If /etc/hosts.allow does not contain a rule allowing access, tcpd reads /etc/hosts.deny for a rule that would deny access. If neither of the files contains an accept or deny rule, access is granted by default. The syntax for the /etc/hosts.allow and /etc/hosts.deny files is as follows:

daemon : client_hostname_or_IP

The typical setup is to deny access to everyone listed in the /etc/hosts.deny file. (This example shows both ssh1 and ssh2.)

sshd1: ALL
sshd2: ALL
sshdfwd-X11 : ALL

or simply

ALL: ALL

And then allow access only to trusted clients in the /etc/hosts.allow:

sshd1 : trusted_client_IP_or_hostname
sshd2 : .ssh.com foo.bar.fi
sshdfwd-X11 : .ssh.com foo.bar.fi

Based on the /etc/hosts.allow file above, users coming from any host in the ssh.com domain or from the host foo.bar.fi are allowed to access.

[Jouni Karlsson]

Muokkaamalla tiedostoa /etc/ssh/sshd_config ja lisäämällä sinne vaikka rivin "AllowUsers omatunnus".

Koodia: [Valitse]

$ echo "AllowUsers omatunnus" | sudo tee -a /etc/ssh/sshd_config && sudo /etc/init.d/ssh restart

- Jouni Karlsson

[Jouni Karlsson]

yksi sana, "etc/hosts.deny"
toinen sana, "etc/hosts.allow"

Näillä rajoitetaan vain mistä saa kirjautua koneelle, ei sitä kuka. Lisäksi tukkivat kaiken muunkin kuin pelkän SSH:n.

- Jouni Karlsson

[gdm]

Muokkaamalla tiedostoa /etc/ssh/sshd_config ja lisäämällä sinne vaikka rivin "AllowUsers omatunnus".

Tuo tarkoittaa sitä että, kohdekoneella on oltava sen niminen käyttäjätunnus joka voi kirjautua sisään.

[Petri Järvisalo]

kannattaa myös tutustua sellaiseen ohjelmaan kuin fail2ban, tällä voi laittaa karanteeniin esimerkiksi 3 väärän salasanasyötön jälkeen kyseisen ip osoitteen joko elinikäisesti tai vaikka muutamaksi tunniksi. ehkäisee hyvin esim ulkomailta tulevia hyökkäyksiä

[peran]

Salasanalla kirjautiminen kannattaa poistaa kokonaan käytöstä, ja kirjautumisen sallia vain rsa-avaimella. Näin siis turvaat yhteytesi varsin varmasti.

[Jouni Karlsson]

Tuo tarkoittaa sitä että, kohdekoneella on oltava sen niminen käyttäjätunnus joka voi kirjautua sisään.

Nooh, luetun ymmärtäminen ei ole vahvinta alaa aina itsellä, mutta käsitin kysymyksessä haluttavan rajoittaa juuri käyttäjien kirjautumisia eikä hostien.

- Jouni Karlsson

[Anssi]

Muokkaamalla tiedostoa /etc/ssh/sshd_config ja lisäämällä sinne vaikka rivin "AllowUsers omatunnus".

Koodia: [Valitse]

$ echo "AllowUsers omatunnus" | sudo tee -a /etc/ssh/sshd_config && sudo /etc/init.d/ssh restart

- Jouni Karlsson

kiitos tämä auttoi. Vielä kun keksi ratkaisun tuohon vaihtuvaan ip-osoitteeseen, mutta sen saa soittamalla...

[Anssi]

Salasanalla kirjautiminen kannattaa poistaa kokonaan käytöstä, ja kirjautumisen sallia vain rsa-avaimella. Näin siis turvaat yhteytesi varsin varmasti.

täytyy ottaa selvää. voi tietysti laittaa tähän linkkiä jos hyvät ohjeet tiedät...

[Jouni Karlsson]

kiitos tämä auttoi. Vielä kun keksi ratkaisun tuohon vaihtuvaan ip-osoitteeseen, mutta sen saa soittamalla...

täytyy ottaa selvää. voi tietysti laittaa tähän linkkiä jos hyvät ohjeet tiedät...

IP asiassa: http://www.dy.fi

Avain asiassa: http://linux.fi/index.php/Ssh#Tunnistaminen_avainparilla

- Jouni Karlsson

[gdm]

Tuo www.dy.fi on kätevä, itselläni samainen käytössä.

ja lisää tuosta ssh:sta http://wiki.ubuntu-fi.org/ssh-palvelin

[Melmacian]

Vielä kun keksi ratkaisun tuohon vaihtuvaan ip-osoitteeseen, mutta sen saa soittamalla...

http://wiki.ubuntu-fi.org/Dynaaminen_DNS

[Anssi]

Vielä kun keksi ratkaisun tuohon vaihtuvaan ip-osoitteeseen, mutta sen saa soittamalla...

http://wiki.ubuntu-fi.org/Dynaaminen_DNS

kiitos!
tosin löysin tuon jo tuossa aiemmin ja se on käytössä...

http://s2putty.sourceforge.net/
nyt sitten homma hoituu tien päälläkin...

[jnr21]

http://non-gnu.uvt.nl/pub/uvt-unix-doc/ssh-harden.txt