Nur eine IP zum einloggen erlauben

[spruce]

Guten Abend,

ich befasse mich aktuell mit der Absicherung meiner Server, und dadurch das ich eine feste IP habe, würde ich gerne nur dieser erlauben sich via SSH einzuloggen.
Ganz gleich ob root (ist eh verboten) oder einem anderen User. Alles andere soll natürlich mit jeder IP erreichbar sein (80/443 z.B.)

Wie gehe ich hier am besten vor?

spruce

[heisenberg]

Möglichkeit 1) Paketfilter (iptables/nftables) konfigurieren, dass der Zugriff auf den SSH-Port nur für die eine Quelladresse erlaubt.

Möglichkeit 2) SSHD über einen Match-Block so konfigurieren, dass nur die gewünschte Quell-IP sich anmelden darf.

/etc/ssh/sshd_config

Code: Alles auswählen

...
DenyUsers *
Match Address 1.2.3.4
	AllowUsers *

[spruce]

Geht Möglichkeit 1 auch mit ufw?

Edit: Bereits gefunden - denke ich. Wenn ich es richtig verstehe, dann erlaube ich mit

sudo ufw allow from IP.IP.IP.IP to any port 22

den Zugriff auf SSH. Sind dann alle anderen IP´s automatisch geblockt?
Bzw. muss ich dann 22/tcp deaktiveren?

[heisenberg]

Ja.

[spruce]

Hatte meinen Beitrag editiert, ich bin so frei und zitiere ihn damit ihr eine Benachrichtigung bekommt

Wenn ich es richtig verstehe, dann erlaube ich mit

sudo ufw allow from IP.IP.IP.IP to any port 22

der IP den Zugriff auf SSH. Sind dann alle anderen IP´s automatisch geblockt?
Bzw. muss ich dann 22/tcp deaktivieren?

[mat6937]

ich befasse mich aktuell mit der Absicherung meiner Server, und dadurch das ich eine feste IP habe, würde ich gerne nur dieser erlauben sich via SSH einzuloggen.
Ganz gleich ob root (ist eh verboten) oder einem anderen User. Alles andere soll natürlich mit jeder IP erreichbar sein (80/443 z.B.)

Wie gehe ich hier am besten vor?

Du kannst zusätzlich auch in der .ssh/authorized_keys, from="<erlaubte-IP-Adresse>" und/oder in der ssh.service-unit:

Code: Alles auswählen

IPAddressDeny=any
IPAddressAllow=<erlaubte-IP-Adresse>

benutzen.

[heisenberg]

Ich nutze ufw selbst nicht.

Ich würde 4 Regeln empfehlen wollen:

• state=new + dest port 22 + source-ip 1.2.3.4 + eingehend auf public interface: allow
• state=related+established + dest port 22 + source-ip 1.2.3.4 -> eingehend auf public interface: allow
• state=related+established + source port 22 -> ausgehend auf public interface: allow
• default: drop

Man schießt sich üblicherweise recht schnell den SSH-Zugang bei so etwas weg, wenn man nicht aufpasst.

Möglichkeiten zur Abhilfe:

• Regeln nicht gleich persistent + rebootfest eintragen und dann eine Möglichkeit zum reboot des Systems haben
• Eine Konsole haben, um auch abseits der Netzwerkkonfiguration ein Terminal öffnen zu können.
• Script haben, dass einen Reboot durchführt, wenn nach X Minuten kein Login erfolgt ist.

[spruce]

Also in der sshd_config? @mat6937

Denn dann wäre das ja die einfachste Lösung?

[mat6937]

Also in der sshd_config?

Das wäre auch eine Möglichkeit.

[mat6937]

Also in der sshd_config?

Das wäre auch eine Möglichkeit.

EDIT:

Z. B. so:

Code: Alles auswählen

AllowUsers <erlaubter-user>@<erlaubte-source-IP_Adresse>
DenyUsers !<erlaubter-user>@<erlaubte-source-IP_Adresse>

Achte darauf, dass Du dich nicht aussperrst.

[MSfree]

Z. B. so:

Code: Alles auswählen

AllowUsers <erlaubter-user>@<erlaubte-source-IP_Adresse>
DenyUsers !<erlaubter-user>@<erlaubte-source-IP_Adresse>

Achte darauf, dass Du dich nicht aussperrst.

Noch besser so:

Code: Alles auswählen

Match Address <erlaubte-IP>
   AllowUsers <erlaubter-user>
   DenyUsers !<erlaubter-user>

Das fängt jeden Verbindungsversuch schon ab, bevor er in den Loginprozeß geht.

Aber Achtung, der Login geht dann wirklich nur noch von der erlaubten IP. Bevor man sich damit aussperrt, sollte man zwei Terminals aufhaben, eines, über das man eingelogt ist und bleibt.

Das zweite, mit dem man nsch dem Restart des sshd den Loginversuch starten kann. Bei Nichtfunktion hat man noch das erste zut Korrektur. Ein

Code: Alles auswählen

systemctl restart ssh

vom ersten Terminal logt einen nicht aus.

[mat6937]

Noch besser so:

Code: Alles auswählen

Match Address <erlaubte-IP>
   AllowUsers <erlaubter-user>
   DenyUsers !<erlaubter-user>

<erlaubte-IP> ist aber in diesem Fall, die IP-Adresse auf der der sshd lauscht, oder?
Weiß der sshd zu diesem Zeitpunkt (... denn es ist ja noch vor der authentication auf dem Server) schon, für welchen user (erlaubt oder nicht erlaubt) das "packet type 50", vom ssh-Client kommt?

[MSfree]

<erlaubte-IP> ist aber in diesem Fall, die IP-Adresse auf der der sshd lauscht, oder?

Nein, das ist die Quell-IP, also die Seite, von der du deinen SSH-Client startest.

ACHTUNG, private IP-Adressen kannst du nicht verwenden!

[mat6937]

Nein, das ist die Quell-IP, also die Seite, von der du deinen SSH-Client startest.

Aber das mit Match ist doch ein Bedingungsblock. D. h. wenn die tatsächliche Quell-IP nicht der entspricht, die bei "Match Address ..." eingetragen ist, ist die Bedingung bzw. das Kriterium nicht erfüllt und es gelten die globalen Einstellungen der sshd_config, oder?

[MSfree]

Aber das mit Match ist doch ein Bedingungsblock. D. h. wenn die tatsächliche Quell-IP nicht der entspricht, die bei "Match Address ..." eingetragen ist, ist die Bedingung bzw. das Kriterium nicht erfüllt und es gelten die globalen Einstellungen der sshd_config, oder?

Richtig, aber die kann/muß man dann auch ändern. oder andere IPs durch einen weiteren MATCH-Block, der alle sosntigen IPs negiert, blockieren.

[mat6937]

.... oder andere IPs durch einen weiteren MATCH-Block, der alle sosntigen IPs negiert, blockieren.

Ich habe es erfolgreich, mit einem einzigen Match-Block getestet. Z. B. so:

Code: Alles auswählen

Match Address *,!<erlaubte-IP>
        ForceCommand /usr/bin/false

Die Zeilen (hier nur ForceCommand) im Match-Block können/müssen optimiert/angepasst werden. Mir ging es hier nur um die erfolgreiche Negation (d. h. um eine Ausnahme nur für die erlaubte IP) für den Wert des Argumentes "Address" im Match-Block und deshalb nur die Zeile "ForceCommand /usr/bin/false".