từ chối ssh từ tất cả ngoại trừ 1 IP và cho phép root từ mọi thứ

0

Tôi đã có thể từ chối ssh đến máy chủ của mình từ tất cả các địa chỉ IP ngoại trừ 1 bằng cách nhập 

sshd: all

trong /etc/hosts.deny

sshd: x.x.x.x

trong /etc/hosts.allow (ẩn ip)

nhưng tôi muốn thêm một ngoại lệ cho phép root đăng nhập từ mọi nơi. Có thể làm một điều như vậy?

linux  ssh  root  sshd 
Peter Hayek
nguồn
3
Đúng. Tại sao phải đóng cửa khi bạn có thể phá đổ một bức tường?
MariusMatutiae
2
Bạn có nhận ra rằng nếu bất cứ ai đang cố gắng xâm nhập thông qua ssh, tên người dùng đăng nhập đầu tiên họ sẽ thử là root? Vì vậy, ... từ chối của bạn tất cả có nghĩa là hoàn toàn không có gì? Thực hành phổ biến nhất mà tôi biết là root - từ chối đăng nhập. Cách duy nhất để lấy root là thông qua sudo hoặc su root sau khi bạn đăng nhập bằng tài khoản bình thường.
Darius
Câu trả lời sẽ có ở AllowUsertrong /etc/ssh/sshd_config:-) ... nhưng tôi không có thời gian để viết hơn bây giờ và hơn nữa tôi nghĩ rằng đó là nguy hiểm và deprecable để cung cấp cho truy cập root trực tiếp từ xa. Một hacker hoặc một phần mềm độc hại luôn có thể tìm cách xâm nhập vào hệ thống của bạn nhưng tại sao lại tung ra một tấm thảm đỏ cho nó?
Hastur
@Op, Hãy giải thích lý do của bạn. Những gì bạn đã yêu cầu là nguy hiểm, vì vậy nghe có vẻ như là một vấn đề X -> Y (nghĩa là bạn có vấn đề X, nhưng yêu cầu solutiuon Y, khi Y hoàn toàn không phải là giải pháp thích hợp; chỉ bằng cách phân tích X có thể chúng tôi đưa ra một Y tốt hơn).
Frank Thomas

Câu trả lời:

0

Tôi tìm thấy câu trả lời!

Nhưng trước khi tôi liệt kê nó, tôi sẽ trả lời những nhận xét trước phán xét của bạn

  1. Tôi không cố gắng để tạo một đăng nhập an toàn.

  2. những gì tôi đang cố gắng làm là buộc người dùng (không phải root) đăng nhập vào thiết bị của tôi thông qua một máy chủ cụ thể có địa chỉ IP cụ thể, có thể được gọi là MÁY CHỦ JUMP. tại sao? bởi vì tôi đang theo dõi lịch sử lệnh của họ và để biết họ đang đăng nhập cái gì và khi nào. Tại sao không sử dụng LDAP / RADIUS? bởi vì các máy chủ của tôi đang chạy trên hệ điều hành được cấu hình lại của nhà cung cấp không hỗ trợ tính năng này. Làm thế nào để tôi theo dõi lịch sử người dùng? Tôi đang tạo một tập lệnh mà mỗi khi ai đó ssh đến máy chủ của tôi, nó sẽ gửi cho tôi tên người dùng + thời gian đăng nhập và tương tự để đăng xuất.

  3. Và ở đó bạn đi, một phiên bản ngắn của những gì tôi đang cố gắng làm. Bây giờ xin vui lòng nếu bạn có bất kỳ câu hỏi đừng ngần ngại hỏi.

Câu trả lời là như sau:

vi /etc/security/access.conf

và thêm vào dưới đây:

+:root:ALL
+:ALL:x.x.x.x
-:ALL:ALL

coi xxxx là địa chỉ IP duy nhất mà bạn muốn cho phép tất cả người dùng đăng nhập.

Sau đó vi /etc/pam.d/sshd và sửa đổi như sau:

account required pam_access.so
Peter Hayek
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.