sshd:lle eri asetukset eri NIC:lle

[f7391]

Kotiverkossani on Ubuntu Breezy-palvelin, joka toimii myös palomuurina, dhcp-palvelimena yms. kotiverkolle. Koska Snortin mukaan ssh-murtoyrityksiä tulee todella paljon, olen estänyt ssh-kirjautumisen salasanalla. Onko mahdollista saad a sshd toimimaan siten, että internetin puolelta kirjauduttaessa vaaditaan PKI-autentikointia mutta lanin puolelta kelpaa salasana?

[AppaRatuS]

Tai kannattaisikos laittaa sekä LANista että internetistä kirjautumiseen DSA-avain?
Eli SSH-palvelimelle kirjautuminen vaatii salasanan sijaan vaikkapa 2048-bittisen salausavaimen. Siinä onkin kräkkerille hommaa
Tuolla tavalla kirjautuminen käy myös silmänräpäyksessä koska salasanakyselyä ei tarvita.
Tuolla ohjeita:
http://forum.ubuntu-fi.org/index.php?topic=503.0

[f7391]

Tai kannattaisikos laittaa sekä LANista että internetistä kirjautumiseen DSA-avain?
Eli SSH-palvelimelle kirjautuminen vaatii salasanan sijaan vaikkapa 2048-bittisen salausavaimen. Siinä onkin kräkkerille hommaa
Tuolla tavalla kirjautuminen käy myös silmänräpäyksessä koska salasanakyselyä ei tarvita.
Tuolla ohjeita:
http://forum.ubuntu-fi.org/index.php?topic=503.0

Ehkä ilmaisin itseni huonosti, siis tuo avainhan on nyt nimenomaan käytössä eli salasanakirjautumista ei ole sallittu.

[AppaRatuS]

Kas vain, niinpäs olikin . Mutta mikäs ongelma tuon salausavaimen käytössä kotiverkon puolella sitten on?

[janne]

Ehkä ilmaisin itseni huonosti, siis tuo avainhan on nyt nimenomaan käytössä eli salasanakirjautumista ei ole sallittu.

tuota juu...
sinähän voit periaatteessa tehdä sisäverkkoon vaikka sellaiset avaimet, joilla ei ole salasanaa ja kirjautuminen hoituu kokonaan ilman salasanoja tai mitään.

jos kuitenkin haluat kaksi eri tapaa loggautua, on simppeleintä (ainoa tapa?) varmaankin käynnistää kaksi sshd-prosessia jotka käynnistetään omilla init-scripteillään ja jotka käyttävät omia konffitiedostojaan.