Kirjoittaja Aihe: sshd:lle eri asetukset eri NIC:lle  (Luettu 1963 kertaa)

f7391

  • Käyttäjä
  • Viestejä: 20
    • Profiili
sshd:lle eri asetukset eri NIC:lle
« : 09.09.06 - klo:14.57 »
Kotiverkossani on Ubuntu Breezy-palvelin, joka toimii myös palomuurina, dhcp-palvelimena yms. kotiverkolle. Koska Snortin mukaan ssh-murtoyrityksiä tulee todella paljon, olen estänyt ssh-kirjautumisen salasanalla. Onko mahdollista saad a sshd toimimaan siten, että internetin puolelta kirjauduttaessa vaaditaan PKI-autentikointia mutta lanin puolelta kelpaa salasana?

AppaRatuS

  • Vieras
Re: sshd:lle eri asetukset eri NIC:lle
« Vastaus #1 : 09.09.06 - klo:17.58 »
Tai kannattaisikos laittaa sekä LANista että internetistä kirjautumiseen DSA-avain?
Eli SSH-palvelimelle kirjautuminen vaatii salasanan sijaan vaikkapa 2048-bittisen salausavaimen. Siinä onkin kräkkerille hommaa :D
Tuolla tavalla kirjautuminen käy myös silmänräpäyksessä koska salasanakyselyä ei tarvita.
Tuolla ohjeita:
http://forum.ubuntu-fi.org/index.php?topic=503.0

f7391

  • Käyttäjä
  • Viestejä: 20
    • Profiili
Re: sshd:lle eri asetukset eri NIC:lle
« Vastaus #2 : 10.09.06 - klo:21.04 »
Tai kannattaisikos laittaa sekä LANista että internetistä kirjautumiseen DSA-avain?
Eli SSH-palvelimelle kirjautuminen vaatii salasanan sijaan vaikkapa 2048-bittisen salausavaimen. Siinä onkin kräkkerille hommaa :D
Tuolla tavalla kirjautuminen käy myös silmänräpäyksessä koska salasanakyselyä ei tarvita.
Tuolla ohjeita:
http://forum.ubuntu-fi.org/index.php?topic=503.0

Ehkä ilmaisin itseni huonosti, siis tuo avainhan on nyt nimenomaan käytössä eli salasanakirjautumista ei ole sallittu.

AppaRatuS

  • Vieras
Re: sshd:lle eri asetukset eri NIC:lle
« Vastaus #3 : 10.09.06 - klo:22.26 »
Kas vain, niinpäs olikin :). Mutta mikäs ongelma ??? tuon salausavaimen käytössä kotiverkon puolella sitten on?

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: sshd:lle eri asetukset eri NIC:lle
« Vastaus #4 : 10.09.06 - klo:22.32 »
Ehkä ilmaisin itseni huonosti, siis tuo avainhan on nyt nimenomaan käytössä eli salasanakirjautumista ei ole sallittu.

tuota juu...
sinähän voit periaatteessa tehdä sisäverkkoon vaikka sellaiset avaimet, joilla ei ole salasanaa ja kirjautuminen hoituu kokonaan ilman salasanoja tai mitään.

jos kuitenkin haluat kaksi eri tapaa loggautua, on simppeleintä (ainoa tapa?) varmaankin käynnistää kaksi sshd-prosessia jotka käynnistetään omilla init-scripteillään ja jotka käyttävät omia konffitiedostojaan.
Janne