ssh: remote root access nur aus ausgewählten Netzen.
Cord Beermann
cord at Wunder-Nett.org
Mon Jun 6 21:35:01 CEST 2011
Hallo,
Ich brauche mal jemanden zum Denken, oder Fehler finden.
Ich möchte mich aus Backupgründen auf einen Linux-Server per ssh
als root einloggen, aus security Gründen mchte ich das nur aus
handverlesenen Netzen machen.
Gleichzeitig möchte ich mich unbeschränkt als normaler User anmelden
können.
Authorisierungsfragen (key/password) lasse ich mal aussen vor.
Beispiel:
Backupserver (10.0.0.1) ---- ssh ---> root at SERVER (10.0.0.2) soll gehen.
sonstiges (z.B. 192.168.0.1) --> ssh --> root at SERVER (10.0.0.2) nicht.
gleichzeitig soll aber:
Backupserver (10.0.0.1) ---- ssh ---> cord at SERVER (10.0.0.2) soll gehen.
sonstiges (z.B. 192.168.0.1) --> ssh --> cord at SERVER (10.0.0.2) auch.
alle Klarheiten beseitigt?
ich habe also
http://www.cyberciti.biz/tips/openssh-root-user-account-restriction-revisited.html
ausgegraben, welches beschriebt wie man das mit PAM realisert.
Dummerweise tut es nicht.
meine /etc/security/access.conf auf SERVER:
-------------------------------------------------------------------
+:root:10.0.0.0/24
-:root:ALL
+:ALL:ALL
-------------------------------------------------------------------
bzw:
-------------------------------------------------------------------
-:root:ALL EXCEPT 10.0.0.0/24
+:ALL:ALL
-------------------------------------------------------------------
Das Ergebnis:
Backupserver (10.0.0.1) ---- ssh ---> root at SERVER (10.0.0.2) geht.
sonstiges (z.B. 192.168.0.1) --> ssh --> root at SERVER (10.0.0.2) geht nicht.
gleichzeitig soll aber:
Backupserver (10.0.0.1) ---- ssh ---> cord at SERVER (10.0.0.2) geht.
sonstiges (z.B. 192.168.0.1) --> ssh --> cord at SERVER (10.0.0.2) geht nicht.
Wo ist mein Fehler?
Cord
More information about the Linux
mailing list