• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SSH nur von bestimmten Rechnern erlauben

M

Marcus Moeller

Newbie
Hi,

ich möchte SSH nur von bestimmten Rechnern im Netz erlauben. Diese sollen sich dann über Login / Passwort anmelden können.

Ausserdem wäre es schön wenn man einstellen könnte das nach 3 Fehlversuchen der Login für X Minuten gesperrt wird.

Einer ne Idee?

MfG
Marcus
 
G

gaw

Hacker
In der /etc/ssh/sshd_config:

MaxStartsups 3

Für das dreimalige Anmeldung. Der Zugriff von bestimmten Rechnern lässt sich unterschiedlich einrichten:

1.) über das Schlüsselwort allowHosts (nicht openssh) oder allowUsers/denyUsers mit wildcards

2.) über rhosts/hosts.equiv Authentifizierung

3) über shosts/shosts.equiv Authentifizierung

4.) über stärker abgesicherte Trusted-Hostauthentifizierung

5.) über benutzerauthentifizierte RSA-Schlüssel mit einem from in der Zeile der .ssh/authorized_keys

Dabei wird 2 und 3 über die Dateien /etc/host.equiv
bzw. /etc/.rhosts oder /etc/shosts bzw. /etc/shosts.equiv eingestellt, 4 und 5 werden über asssymetrische RSA-Schlüssel realisiert.
ab.

Im einfachsten Fall (also 1 ;-)) sollten Anweisung wie die folgenden in /etc/ssh/sshd_config reichen:

allowUsers *@Hosts 192.168.1.*

beschränkt den Zugriff auf alle Rechner dessen IP mit192.168.1. beginnen

komplexer geht es auch so:

allowUsers *@192.168.1.(? |(2[3-7]))

umfasst den Adressenraumrlaubt von Rechnern 192.168.1.0 -192.168.1.9 und 192.168.1.23 -192.168.1.27

Das ganze gilt für OpenSSH_3.8p1, SSH protocols 1.5/2.0, OpenSSL 0.9.7d 17 Mar 2004. (ssh -V)

Wenn du einer der weitergehenden Verschlüsselungstechniken anwenden möchtest, dann melde dich halt noch mal.

Ach ja, fällt mir noch ein, dabei sollte das Schlüsselwort

IgnoreUserHosts Yes


eingestellt werden, damit die Einstellungen nicht von den Dateien in .ssh/knownhosts ausgehebelt werden

mfG
gaw
 
OP
M

Marcus Moeller

Newbie
Danke für die Antwort.

Allerdings möchte ich wenn es geht den Zugriff nicht anhand von Client IPs sondern von Schlüsseln realisieren. Da der Zugriff von extern stattfindet möchte ich z.B. das ich mit meinem Notebook (egal von welcher IP aus) auf den Server zugreifen kann.

Ich habe gelesen das bei der RSA Methode gar keine Passwortabfrage mehr kommt. Ist das richtig? Das ist nämlich nicht mein Ziel.

MfG
Marcus
 
G

gaw

Hacker
Man kann es so einstellen, aber das ist nicht zwingend. Wenn du bei der Schlüsselerstellung eine Passphrase abgibst, muss derjenige, der sich anmeldet auch diese Passphrase eingeben.

Wie man 5 konfiguriert habe ich schon beschrieben:
http://www.linux-club.de/viewtopic.php?t=16918

Da steht auch wie du die Passphrase eingibst. Viel Erfolg.

mfG
gaw
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben