sshd mehrfach konfigurieren

[kuno2k12]

Hallo die Runde!
Hat jemand einen Tipp für mich, betreffend die sshd-Konfiguration?
z.B.: Ich habe 2 eth Interfaces, eines ins Internet und eines in das LAN.
mit "ListenAddress 123.123.123.123:22123" lauscht der daemon im Internet
und mit "ListenAddress 192.168.0.123:22" lauscht der daemon im LAN. So weit kein Problem.
Jetzt möchte ich aber weitere Parameter der sshd_config für beide Lan's unterschiedlich konfigurieren, z.B.: "PermitRootLogin yes" im LAN und "PermitRootLogin no" im Internet.
Wie kann ich das bewerkstelligen.
PS.: sshd 2x, mit jeweils unterschiedlicher Konfiguration scheidet offensichtlich aus, weil das pid-File immer dasselbe (/var/run/ssh.pid) ist und somit die daemons nicht gesondert mit /etc/init.d/ssh restart gestartet werden können ... oder ich hab*s nicht fertig gebracht?

Danke für eure Tipps,
Konrad

[Hosi]

Du kannst das PID-file über sshd_config ändern und für den 2ten SSHD z.B. auf /var/run/sshd_intern.pid ändern. Von /etc/init.d/ssh machst Du eine Kopie nach /etc/init.d/ssh_intern, änderst dort die Angaben auf Deine Wünsche ab (--pidfile /var/run/sshd_intern.pid) und kannst so unabhängig die beiden SSHD starten und stoppen. Sollte funktionieren...

[Cae]

... und beim naechsten Update fliegt einem das um die Ohren. Vielleicht kann man als zweit-SSHd dropbear verwenden.

Wegen deines speziellen Problems: Warum verwendest du nicht einfach SSH-Keys und effektiv fuer beide Faelle

Code: Alles auswählen

PermitRootLogin without-password

?

Gruss Cae

[Hosi]

... und beim naechsten Update fliegt einem das um die Ohren.

Wieso? Solange Debian ssh nicht nach ssh_intern umbenennt, sollte das auch bei einem Update keinerlei Schwierigkeiten machen?

Grüße,
hosi

[Cae]

Okay, das war ueberspitzt formuliert. Ich meinte damit, dass ein Update das originale init-Skript aendern koennte und man das andere haendisch nachpflegen muss. Solange man das nicht tut oder tun kann (weil unattended update), hat man einen inkonsistenten Zustand, der einem irgendwann dannach potenziell um die Ohren fliegen kann. Dass dpkg etwas am lokalen Klon veraendert, wuerde ich nicht annehmen.

Gruss Cae

[kuno2k12]

Du kannst das PID-file über sshd_config ändern und für den 2ten SSHD z.B. auf /var/run/sshd_intern.pid ändern. Von /etc/init.d/ssh machst Du eine Kopie nach /etc/init.d/ssh_intern, änderst dort die Angaben auf Deine Wünsche ab (--pidfile /var/run/sshd_intern.pid) und kannst so unabhängig die beiden SSHD starten und stoppen. Sollte funktionieren...

Das funktioniert bei mir im Büro einwandfrei. Nur bei meiner "Heimvariante (debian wheezy)" wird IMMER /var/run/sshd.pid geschrieben und wenn ich den 2. daemon starte wird dasselbe pid-File mit dem neuen pid überschrieben (trotz geänderten Angaben, sowohl im sshd_config file, als auch im /etc/init.d/ssh2.

Aber danke für die Antwort.

[kuno2k12]

Hallo die Runde!
Hat jemand einen Tipp für mich, betreffend die sshd-Konfiguration? ...

Eigentlich hätte ich gedacht, dass die Option "Match" (lt. man page) dafür vorgesehen wäre. Nur, ich komme nicht drauf, wie die Match Anweisung abgegrenzt wird? Auch wenn ich sie am Ende von sshd_config einsetze habe ich keinen Erfolg.

Vielleicht hat doch noch jemand einen Tipp, ob ich damit richtig liege, und/oder hat ein funktionierendes Beispiel der sshd_config parat?

Danke!

[rendegast]

wird IMMER /var/run/sshd.pid geschrieben und wenn ich den 2. daemon starte wird dasselbe pid-File mit dem neuen pid überschrieben (trotz geänderten Angaben, sowohl im sshd_config file, als auch im /etc/init.d/ssh2.

Sieh doch mal in /etc/init.d/ssh nach,
die pidfile-Vorgabe durch das Skript muß unterbleiben, resp. entsprechend abgeändert werden.

Mir scheint aber auch das 'Match' passender.

Match
Introduces a conditional block. If all of the criteria on the Match line
are satisfied, the keywords on the following lines override those set in
the global section of the config file, until either another Match line or
the end of the file.

The arguments to Match are one or more criteria-pattern pairs. The avail‐
able criteria are User, Group, Host, and Address. The match patterns may
consist of single entries or comma-separated lists and may use the wildcard
and negation operators described in the PATTERNS section of ssh_config(5).

The patterns in an Address criteria may additionally contain addresses to
match in CIDR address/masklen format, e.g. “192.0.2.0/24” or
“3ffe:ffff::/32”. Note that the mask length provided must be consistent
with the address - it is an error to specify a mask length that is too long
for the address or one with bits set in this host portion of the address.
For example, “192.0.2.0/33” and “192.0.2.0/8” respectively.

Only a subset of keywords may be used on the lines following a Match key‐
word. Available keywords are AllowAgentForwarding, AllowTcpForwarding,
AuthorizedKeysFile, AuthorizedPrincipalsFile, Banner, ChrootDirectory,
ForceCommand, GatewayPorts, GSSAPIAuthentication, HostbasedAuthentication,
HostbasedUsesNameFromPacketOnly, KbdInteractiveAuthentication,
KerberosAuthentication, MaxAuthTries, MaxSessions, PasswordAuthentication,
PermitEmptyPasswords, PermitOpen, PermitRootLogin, PermitTunnel,
PubkeyAuthentication, RhostsRSAAuthentication, RSAAuthentication,
X11DisplayOffset, X11Forwarding and X11UseLocalHost.

[kuno2k12]

[quote="rendegast"][quote]
die pidfile-Vorgabe durch das Skript muß unterbleiben, resp. entsprechend abgeändert werden.
[quote]
das habe ich nicht gemacht, werde es aber nochmal probieren, danke für den Tipp!

[kuno2k12]

Passen da womöglich zu bestimmten "criterias" nur einige, aber nicht alle "keywords"???

Ich habe da eine Beschreibung gefunden, die die "Match" Anweisung erklärt.
http://www.thomas-krenn.com/de/wiki/Ope ... figuration
Wenn ich das richtig verstanden habe, wird zuerst die globale Richtlinie (z.B.: PernmitRootLogin yes) definiert und anschliessen mit der Match-Anweisung für Spezialfälle abgeändert (z.B.: Alle Verbindungen die von 10.61.111.221 aus initiiert werden, dürfen sich NICHT als root anmelden):

Ich würde gerne erreichen, dass Root-Login generell erlaubt ist, aber von einer IP aus nicht (PS.: das ist ein Beispiel, die reale Anwendung soll sein, PermitRootLogin no für Adressen aus dem Internet, PernmitRootLogin yes für einzelne Adressen aus dem LAN):

Eintrag in meiner sshd_config:
PermitRootLogin yes
Match Address 10.61.111.221
PermitRootLogin no

Ergebnis:
tw525622:~# /etc/init.d/ssh restart
Unsupported Match attribute PermitRootLogin
/etc/ssh/sshd_config line 23: Bad Match condition

[rendegast]

Mach mal

Code: Alles auswählen

cat -A sshd_config

ob vielleicht ein Steuerzeichen hineinspielt.

[kuno2k12]

ob vielleicht ein Steuerzeichen hineinspielt.

Fehlanzeige, alles ok.

Ich glaub's einfach nicht ... ??? Kann man da so viel falsch verstehen, dass sshd ohne Fehlermeldung startet, aber trotzdem nicht das macht, was ich aus der englischen Beschreibung herauszulesen dachte?

[rendegast]

PermitRootLogin yes
Match Address 10.61.111.221
PermitRootLogin no

Ergebnis:
tw525622:~# /etc/init.d/ssh restart
Unsupported Match attribute PermitRootLogin
/etc/ssh/sshd_config line 23: Bad Match condition

Eine solche Meldung erhalte ich bei Konfiguration von

Code: Alles auswählen

PermitRootLogin yes
Match Address 10.61.111.221 PermitRootLogin no
PermitRootLogin no

Kontrolliere nochmal sshd_config.

/etc/ssh/sshd_config line 23: Bad Match condition

Code: Alles auswählen

cat -A sshd_config  |  grep -n .  |  grep 23 -C2

(Da ist ein Punkt "." nach dem '-n')

[kuno2k12]

Hallo

Endlich scheint die Match-Anweisung zu funktionieren, und zwar am ENDE der sshd_config!
z.B.:
Match Address 10.61.111.221
PermitRootLogin [yes|no|without-password]

na, wenn man des Englischen mächtiger wäre als ich, dann würde man vielleicht in der man-page die feinen Unterschiede sehen.

Also, wichtig:
Auf die "Match" Anweisung folgt das "criterium" (z.B.: Address 10.61.111.221) ... OHNE Beistrich! danach.
dan anschliessend, oder in der kommendenZeile ein Argument oder eine mit Beistrichen getrennte Liste von Argumenten, bei mir hier z.B.: PermitRootLogin no

/etc/init.d/ssh restart .... und siehe da, es funktioniert!

Danke für eure Bemühungen,