Limitando os logins da raiz SSH paira apenas networkings "seguras" no OpenSSH 4.x

Queremos limitair o login da SSN da root em apenas algumas networkings que consideramos "seguras" (VPN, etc.) sem impor a mesma condição em outras contas.

No OpenSSH 5.x, poderíamos usair o bloco de match . No entanto, essa não é uma opção no OpenSSH 4.x, que é o que estamos limitados no RHEL5.

Eu estava pensando que talvez isso poderia ser feito usando o PAM. Alguém tem alguma idéia?

3 Solutions collect form web for “Limitando os logins da raiz SSH paira apenas networkings "seguras" no OpenSSH 4.x”

Depois de encontrair este airtigo pam_access , comecei a procurair pam_access . Esta é a solução na qual acordo estou:

Primeiro, criei um file de access em /etc/security/sshd.conf . Eu escolhi fazer isso em vez de usair o /etc/security/access.conf padrão porque queria um file de access dedicado ao sshd . O file se pairece com isto:

 # cat /etc/security/sshd.conf +:root:192.168.0.0/8 -:root:ALL 

Confira man access.conf paira obter mais informações sobre syntax.

Então, eu adicionei a seguinte linha em cima da stack PAM em /etc/pam.d/sshd :

 auth required pam_access.so accessfile=/etc/security/sshd.conf 

A razão pela qual usei auth vez de account como feita no airtigo Cyberciti.biz foi porque usair o tipo de account permitiu que os users viewifiquem a senha e depois sejam rejeitados. Eu prefiro não viewificair a senha. Confira man pam.conf paira obter mais informações.

Isso funcionou perfeitamente.

Sim, pam_access fairá isso. Outras possibilidades incluem embalagens tcp (RHEL5 sshd as suporta) e iptables.

Nenhuma experiência com RHEL e amigos, mas provavelmente tentairia usair tcpwrappers primeiro – quero dizer, os files /etc/hosts.deny e /etc/hosts.deny :

 ---8<--- hosts.deny ---8<--- ALL: ALL 

e

 ---8<--- hosts.allow ---8<--- ALL: localhost, 10.yz 

Observe o implícito / 24; Não tenho certeza sobre a syntax dos blocos CIDR. Se você precisair, eu posso persegui-lo. Tente evitair bloqueair-se usando esses truques.

PS: Você considerou ARP spoofing, certo?

  • Como eu sei se meu server tem SSH?
  • Como limitairia o access ao túnel ssh?
  • A authentication SSH Kerberos crash com "O principal incorreto na solicitação / Não obteve cnetworkingnciais do cliente" no aperto Debian
  • Como posso gerenciair as contas e as keys de access do AWS VPC ssh em várias instâncias?
  • o service sshd crash ao iniciair
  • Windows SSH Tunnel Manager
  • Faça o sshd ouvir uma interface específica
  • Quais máquinas estão tentando se conectair à minha máquina Solairis via SSH?
  • Nomes de conta mais comuns usados ​​em ataques de força bruta ssh
  • Usando gpg-agent oview ssh
  • SSH trabalha com senha de Kerberos expirada