Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
-
tobiasd
- Beiträge: 95
- Registriert: 03.02.2011 15:23:12
- Lizenz eigener Beiträge: GNU General Public License
Beitrag
von tobiasd » 21.11.2018 07:12:40
Hallo zusammen,
ich stehe aktuell vor folgendem Problem:
Ich möchte das alle angelegten User nur von einer bestimmten IP-Adresse aus per SSH zugreifen können. Es gibt jedoch eine Ausnahme: eine Gruppe / ein bestimmter User soll weiterhin von allen IP-Adressen aus verbinden können.
Das habe ich mittels AllowUsers Username@IP bzw. Username@* in der sshd_conf schon mal umsetzen können. Allerdings habe ich bemerkt, dass jeder andere Account den ich im Worst Case vergessen habe, sich weiterhin anmelden kann. Kann man das irgendwie abstellen? Das ganze muss nicht zwingend über die sshd_conf ablaufen - ich bin auch dankbar für andere Ideen
Grüße
Zuletzt geändert von
tobiasd am 17.01.2019 08:01:12, insgesamt 2-mal geändert.
-
uname
- Beiträge: 12496
- Registriert: 03.06.2008 09:33:02
Beitrag
von uname » 21.11.2018 08:19:41
Falls deine Anwender SSH-Keys verwenden müssen bzw. eigentlich dürfen (wovon ich aber mal nicht ausgehe), könnte man sie über ~/.ssh/authorized_keys bzw. am besten verschoben in eine andere, nur durch root veränderbare Verzeichnisstruktur einschränken. Bei Neuanlage von Benutzern könntest du für den Benutzer automatisiert einfach irgendeinen Quatsch eintragen.
-
tobiasd
- Beiträge: 95
- Registriert: 03.02.2011 15:23:12
- Lizenz eigener Beiträge: GNU General Public License
Beitrag
von tobiasd » 21.11.2018 09:47:00
Stimmt, das könnte ich dann zumindest für die User verwenden. Denn die "User" von beliebigen IPs sind Geräte, an denen dann die Firmware angepasst werden müsste.
Obwohl ich dann ein neues Problem habe: ich kann kein Key Only auth mit "PasswordAuthentication no" hinterlegen. Kann man für bestimmte User hinterlegen, dass diese ausschließlich per Key angemeldet werden können?
-
mat6937
- Beiträge: 3414
- Registriert: 09.12.2014 10:44:00
Beitrag
von mat6937 » 21.11.2018 09:57:17
tobiasd hat geschrieben: 
21.11.2018 07:12:40
Allerdings habe ich bemerkt, dass jeder andere Account den ich im Worst Case vergessen habe, sich weiterhin anmelden kann.
Kann man das irgendwie abstellen?
Das geht z. B. mit einer Gruppe "sshusers", in der deine User dann Mitglied sein sollen und dem Eintrag:
in der sshd_config.
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
-
tobiasd
- Beiträge: 95
- Registriert: 03.02.2011 15:23:12
- Lizenz eigener Beiträge: GNU General Public License
Beitrag
von tobiasd » 27.11.2018 17:10:00
Das geht z. B. mit einer Gruppe "sshusers", in der deine User dann Mitglied sein sollen und dem Eintrag:
in der sshd_config.
Funktioniert leider nicht. Ich kann mich weiterhin mit User anmelden, die nicht in der Gruppe sind. Alle anderen allow/deny Einträge wurden auskommentiert und ssh restarted.
-
mat6937
- Beiträge: 3414
- Registriert: 09.12.2014 10:44:00
Beitrag
von mat6937 » 28.11.2018 09:59:27
tobiasd hat geschrieben: 27.11.2018 17:10:00
Funktioniert leider nicht. Ich kann mich weiterhin mit User anmelden, die nicht in der Gruppe sind. Alle anderen allow/deny Einträge wurden ...
Dann zeige mal die Ausgabe von:
Code: Alles auswählen
cat /etc/ssh/sshd_config
cat /etc/group | grep -i sshusers
und von einem user der nicht in der Gruppe "sshusers" ist, die Ausgabe von:
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
-
tobiasd
- Beiträge: 95
- Registriert: 03.02.2011 15:23:12
- Lizenz eigener Beiträge: GNU General Public License
Beitrag
von tobiasd » 17.01.2019 08:00:33
Keine Ahnung wo das Problem lag. Ich habe alles noch mal neu konfiguriert und nun passt es auch. Hatte wohl irgendwo noch einen Tippfehler
Danke für eure Unterstützung.