ssh key-auth mit Ausnahme

[pchris]

Hallo!

Ein von mir betreuter Rechner hängt in einem größeren Netzwerk. Das Netzwerk besitzt eine Firewall zum Internet, auf der für meinen Rechner die Ports 22 und 80 geöffnet sind.

Prinzipiell möchte ich Anmeldungen per ssh auf diesem Rechner nur mit einem PublicKey erlauben. Eine Ausnahme möchte ich aber einrichten, nämlich dass man sich von einem einzelnen speziellen Computer (der sich auch in diesem Netzwerk befindet) auch nur mit seinem Passwort anmelden kann.

Meine Idee wäre gewesen, den sshd so zu konfigurieren, dass er standardmäßig nur publickey-Authentifikation zulässt. Mit

Match Address 192.168.95.224
    ChallengeResponseAuthentication yes

wollte ich eben nur für diese IP-Adresse den Login mit Passwort erlauben. Aber ich habe überlesen, dass diese Direktive in einem Match-Abschnitt nicht erlaubt ist.

Habt ihr Ideen, wie ich das nun lösen kann?

 

[MrMarv]

Mir fällt da ganz spontan ein:

Zwei SSHd mit verschiedenen configs laufen lassen. Den einen nur mit public-key-auth auf port 22 lauschen lassen. Ganz normal quasi.
Den anderen dann mit password-auth auf einem anderen Port lauschen lassen (und diesen per Firewall von außen weg filtern!)
Für die bestimmte IP im Netzwerk dann ein Portforwarding von 22 auf den Port des anderen SSHd.

Das sollte doch klappen, oder? :-)

Grüße!

 

[pchris]

Ja, das ist eine Idee. Werde ich einmal ausprobieren. Danke.

 

[xcvb]

Könnte sowas nicht gehen:

Match Adress 192.168.595.224
  PasswordAuthentication yes

War jetzt nur so mein erster Gedanke.