ssh: remote root access nur aus ausgewählten Netzen.

[Maximilian Wilhelm]

Anno domini 2011 Cord Beermann scripsit:

Moin!

> >Dazu hab ich jetzt keine Idee, ich täts aber auch anders lösen :)

> >Davon ausgehend, dass Du Keys zur Authentifikation benutzt (zumindest
> >zwingend für die Root-Logins, aber das würde man automatisiert IMO eh
> >nicht anders machen wollen) kannst Du die Restriktionen an die
> >Keys/den Key in der authorized_keys knoten.

> >from="10.0.0.*,1.2.3.5/29",no-agent-forwarding,no-port-forwarding,no-X11-forwarding <key bla fasel foo bar>

> >Ggf. kannst Du je nach Backuptools sogar noch 'nen 'command'
> >festtackern.

> ja. keyauthorisierung muss ich zwecks automatisierung eh machen.

> Ziel in diesem Umfeld muss aber auch sein, das Passwort-Authorisierung
> für normale User weiterhin möglich ist, während
> Passwortauthorisierung per ssh für 'root' unterbunden ist.
> (an der Console sollte das Passwort dagegen noch gehen).

> Ich denke das ist mit dem Beispiel oben noch nicht erreicht!?

Noch nicht ganz, geht aber mit einem Handgriff mehr, den ich implizit
als "Standard-Server-Setting" unterstellt hatte :)

man sshd_config /PermitRootLogin

  If this option is set to “without-password”, password authentication
  is disabled for root.

Mit der Kombi müsste das IMO alles erfüllen, was Du willst.

Ciao
Max
-- 
<@uschebit> Aua. Wenn man sich die Rechte einer Datei anzeigen lassen will und
            (analog zu chmod) dazu lsmod nimmt, sollte man sich ganz schnell
	    als root ausloggen und einen Kaffee holen.
<@KrisK> eben. wo es doch getfacl ist