Kirjoittaja Aihe: voiko rajoittaa ssh:n kautta kirjautumista?  (Luettu 4608 kertaa)

Anssi

  • Käyttäjä
  • Viestejä: 1342
    • Profiili
voiko rajoittaa ssh:n kautta kirjautumista?
« : 29.03.08 - klo:19.00 »
eli haluaisin vähän lisätä tietoturvaa. Ylläpitämälläni koneella on käyttäjiä joilla on todella heppoiset salasanat, joten tahtoisin että vain omilla tunnuksillani pystyy ulkopuolelta ottamaan yhteyden ssh:lla, koska kenenkään muun sitä ei tarvitse voida tehdäkkään... miten tämä voisi onnistua?

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #1 : 29.03.08 - klo:19.05 »
yksi sana, "etc/hosts.deny"
toinen sana, "etc/hosts.allow"

Menikö oikein?

http://www.ssh.com/support/documentation/online/ssh/adminguide/32/Configuring_SSH_Secure_Shell_for_TCP_Wrappers_Support.html
Lainaus
Create or edit the /etc/hosts.allow and /etc/hosts.deny files. When a user tries to connect to the SSH Secure Shell server, the TCP wrapper daemon (tcpd) reads the /etc/hosts.allow file for a rule that matches the client's hostname or IP. If /etc/hosts.allow does not contain a rule allowing access, tcpd reads /etc/hosts.deny for a rule that would deny access. If neither of the files contains an accept or deny rule, access is granted by default. The syntax for the /etc/hosts.allow and /etc/hosts.deny files is as follows:

daemon : client_hostname_or_IP

The typical setup is to deny access to everyone listed in the /etc/hosts.deny file. (This example shows both ssh1 and ssh2.)

sshd1: ALL
sshd2: ALL
sshdfwd-X11 : ALL

or simply

ALL: ALL

And then allow access only to trusted clients in the /etc/hosts.allow:

sshd1 : trusted_client_IP_or_hostname
sshd2 : .ssh.com foo.bar.fi
sshdfwd-X11 : .ssh.com foo.bar.fi

Based on the /etc/hosts.allow file above, users coming from any host in the ssh.com domain or from the host foo.bar.fi are allowed to access.
« Viimeksi muokattu: 29.03.08 - klo:19.08 kirjoittanut GoddamnDevil »
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

Jouni Karlsson

  • Käyttäjä
  • Viestejä: 188
    • Profiili
    • G+
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #2 : 29.03.08 - klo:19.09 »
Muokkaamalla tiedostoa /etc/ssh/sshd_config ja lisäämällä sinne vaikka rivin "AllowUsers omatunnus".

Koodia: [Valitse]
$ echo "AllowUsers omatunnus" | sudo tee -a /etc/ssh/sshd_config && sudo /etc/init.d/ssh restart

- Jouni Karlsson
--- Jep ---

Jouni Karlsson

  • Käyttäjä
  • Viestejä: 188
    • Profiili
    • G+
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #3 : 29.03.08 - klo:19.12 »
yksi sana, "etc/hosts.deny"
toinen sana, "etc/hosts.allow"

Näillä rajoitetaan vain mistä saa kirjautua koneelle, ei sitä kuka. Lisäksi tukkivat kaiken muunkin kuin pelkän SSH:n.

- Jouni Karlsson
--- Jep ---

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #4 : 29.03.08 - klo:19.13 »
Muokkaamalla tiedostoa /etc/ssh/sshd_config ja lisäämällä sinne vaikka rivin "AllowUsers omatunnus".

Tuo tarkoittaa sitä että, kohdekoneella on oltava sen niminen käyttäjätunnus joka voi kirjautua sisään.

Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

Petri Järvisalo

  • Käyttäjä
  • Viestejä: 579
    • Profiili
    • Kotisivut
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #5 : 29.03.08 - klo:19.17 »
kannattaa myös tutustua sellaiseen ohjelmaan kuin fail2ban, tällä voi laittaa karanteeniin esimerkiksi 3 väärän salasanasyötön jälkeen kyseisen ip osoitteen joko elinikäisesti tai vaikka muutamaksi tunniksi. ehkäisee hyvin esim ulkomailta tulevia hyökkäyksiä :)
Lisää [ratkaistu] ketjun ensimmäisen viestin otsikkoon, kun ongelma on ratkennut.

peran

  • Vieras
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #6 : 29.03.08 - klo:19.17 »
Salasanalla kirjautiminen kannattaa poistaa kokonaan käytöstä, ja kirjautumisen sallia vain rsa-avaimella. Näin siis turvaat yhteytesi varsin varmasti.


Jouni Karlsson

  • Käyttäjä
  • Viestejä: 188
    • Profiili
    • G+
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #7 : 29.03.08 - klo:19.17 »
Tuo tarkoittaa sitä että, kohdekoneella on oltava sen niminen käyttäjätunnus joka voi kirjautua sisään.

Nooh, luetun ymmärtäminen ei ole vahvinta alaa aina itsellä, mutta käsitin kysymyksessä haluttavan rajoittaa juuri käyttäjien kirjautumisia eikä hostien.

- Jouni Karlsson
--- Jep ---

Anssi

  • Käyttäjä
  • Viestejä: 1342
    • Profiili
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #8 : 29.03.08 - klo:19.28 »
Muokkaamalla tiedostoa /etc/ssh/sshd_config ja lisäämällä sinne vaikka rivin "AllowUsers omatunnus".

Koodia: [Valitse]
$ echo "AllowUsers omatunnus" | sudo tee -a /etc/ssh/sshd_config && sudo /etc/init.d/ssh restart

- Jouni Karlsson

kiitos :) tämä auttoi. Vielä kun keksi ratkaisun tuohon vaihtuvaan ip-osoitteeseen, mutta sen saa soittamalla...
« Viimeksi muokattu: 29.03.08 - klo:19.32 kirjoittanut Anssi »

Anssi

  • Käyttäjä
  • Viestejä: 1342
    • Profiili
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #9 : 29.03.08 - klo:19.38 »
Salasanalla kirjautiminen kannattaa poistaa kokonaan käytöstä, ja kirjautumisen sallia vain rsa-avaimella. Näin siis turvaat yhteytesi varsin varmasti.

täytyy ottaa selvää. voi tietysti laittaa tähän linkkiä jos hyvät ohjeet tiedät...

Jouni Karlsson

  • Käyttäjä
  • Viestejä: 188
    • Profiili
    • G+
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #10 : 29.03.08 - klo:19.40 »
Lainaus käyttäjältä: Anssi
kiitos :) tämä auttoi. Vielä kun keksi ratkaisun tuohon vaihtuvaan ip-osoitteeseen, mutta sen saa soittamalla...

täytyy ottaa selvää. voi tietysti laittaa tähän linkkiä jos hyvät ohjeet tiedät...


IP asiassa: http://www.dy.fi

Avain asiassa: http://linux.fi/index.php/Ssh#Tunnistaminen_avainparilla

- Jouni Karlsson
--- Jep ---

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #11 : 29.03.08 - klo:19.44 »
Tuo www.dy.fi on kätevä, itselläni samainen käytössä.

ja lisää tuosta ssh:sta http://wiki.ubuntu-fi.org/ssh-palvelin
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

Melmacian

  • Käyttäjä
  • Viestejä: 868
  • Ubuntu Hardy
    • Profiili
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #12 : 29.03.08 - klo:23.58 »
Vielä kun keksi ratkaisun tuohon vaihtuvaan ip-osoitteeseen, mutta sen saa soittamalla...
http://wiki.ubuntu-fi.org/Dynaaminen_DNS

Anssi

  • Käyttäjä
  • Viestejä: 1342
    • Profiili
Vs: voiko rajoittaa ssh:n kautta kirjautumista?
« Vastaus #13 : 30.03.08 - klo:02.57 »
Vielä kun keksi ratkaisun tuohon vaihtuvaan ip-osoitteeseen, mutta sen saa soittamalla...
http://wiki.ubuntu-fi.org/Dynaaminen_DNS

kiitos!
tosin löysin tuon jo tuossa aiemmin ja se on käytössä...

http://s2putty.sourceforge.net/
nyt sitten homma hoituu tien päälläkin... ;)

jnr21

  • Käyttäjä
  • Viestejä: 77
    • Profiili