ssh root-zugang nur vom lokalen Netz

H

hugoderwolf

Member
Nachdem meine alte Kiste im Keller nun schonmal brav als Esel-Sklave seinen Dienst tut, will ich das ganze noch etwas erweitern. Wir haben einen Linksys-Router und das Ding meldet sich auch bei einer Adresse bei dyndns. Daher möchte ich den BSD-Rechner gerne in die DMZ stellen damit er auch vom Internet aus erreichbar ist und so ein paar Dienste bereitstellen kann. Aber das natürlich schön sicher. ;)

Da ich das Ding vom Laptop administriere brauche ich Root-Zugang über ssh, aber wenn das Teil in die DMZ kommt, will ich ungern von außen Root-Zugang erlauben. Habe leider in den Handbüchern etc. nichts darüber gefunden, ob man das machen kann, dass zum Beispiel root-login nur von 192.168.0.* möglich ist oder so. Geht das, oder würde man das als jemand, der sich etwas besser auskennt als ich, eh ganz anders regeln?
 
Was spricht gegen den Zugang als normaler unpriviligierter User mit 'sudo'?

Ansonsten wäre das nur über 2 ssh daemons möglich.
 
nAbend,
wenn du vom Rooter aus den SSH-Port nicht weiterleitest, kommt ersteinmal keiner von aussen rann
Du kannst auch in der hosts.allow definieren, welcher inetd-Dienst von wem aus erreichbar sein soll;
z.B.
sshd : all exept local : deny

Gruß Stefan
 
Hi,
ich bin BSD neuling und ich weiss das man unter Linux inetd oder xinetd denn sshd deamon so einrichten kann das bestimmte IP nur Zugriff haben.

Gruss Menuhin
 
hugoderwolf schrieb:
Da ich das Ding vom Laptop administriere brauche ich Root-Zugang über ssh, aber wenn das Teil in die DMZ kommt, will ich ungern von außen Root-Zugang erlauben.
Zum Vergrößern anklicken....
Weise.
Du könntest auf dem Server einen Benutzer anlegen der in der Gruppe "wheel" ist. Unter der Kennung logst du dich ein und machst dich mittels "su" zum root.

wolkenlos
 
wie ich oben schon geschrieben habe:
trage in die Datei /etc/hosts.allow folgendes ein

sshd : all exept local : deny

ftp : paranoid : deny
ftp : all : allow

all : all : deny

--> keiner darf ssh benutzen, ausser deinen IP ist aus dem lokalen Netz
--> wessen Adresse sich nicht per dns richtig auflösen lässt, darf kein ftp machen
--> alle dürfen ftp
--> alle die von obigen Regeln nicht erfasst wurden bleiben draussen

Stefan
jetzt kann nur noch
 
Hmm, das mit der Gruppe wheel war mir nicht bewusst. Dann werde ich das wohl besser so machen. So muss ein potentieller Angreifer immerhin zwei Accounts hacken. Und das ist den Aufwand bei mir eh nicht wert. ;)

Ansonsten schau ich nach, ob ich vielleicht tatsächlich einfach zwei ssh Daemons auf unterschiedlichen Ports durchlasse. Der mit root-Zugang ist dann nur vom lokalen Netz aus erreichbar.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben