Zeitgesteuerter SSH-Zugang

Heidegger

Heidegger

Well-Known Member
Hi! Ich werde demnächst meinen Anbieter wechseln, wahrscheinlich ist bytecamp mein neuer. Ich habe vor, auf meinem neuen Server über crontab einen zeitgesteuerten OpenSSH-Zugang einzurichten: sshd soll z. B. nur Mo, Mi und Sa von 04:00 - 04:15 starten und in der übrigen Zeit abgeschaltet sein, quasi wie ein Zeitschloss für den Tresor einer Bank, damit der Tresor im Falle eines Banküberfalls von den Bankangestellten definitiv nicht außerhalb der einprogrammierten Zugangszeiten geöffnet werden kann. Ist so etwas sinnvoll? Ist zugegebenermaßen extrem paranoid, aber so sind 'se nun mal, die *BSD'ler!

:D
 
Den zeitgesteuerten Zugang kannst Du auch mit PAM realisieren.
Ist IMHO etwas solider.

Gruss...

Der Indy
 
was ist daran paranoid? zeitgesteuerte zugangskontrolle ist imho ein recht verbreitetes "sicherheitsfeature". kann man nicht sogar bei windows definieren, von wann bis wann sich ein user in ein system einloggen darf? hat also nicht speziell was mit bsd zu tun wie ich finde...
 
Es hat insofern etwas mit BSD zu tun, als ich nicht wusste, wie dieses Feature konkret umzusetzen ist und ich ebenfalls Klärungsbedarf über die Sinnhaftigkeit der Einrichtung eines solchen, nur partiell erreichbaren SSH-Zugangs auf einem öffentlich zugänglichen Webserver anmelden wollte. Die Kenntniss über ein zeitgesteuertes Benutzerlogin bei Microsoft ® Windows konnte mir nicht bei der Klärung meiner Frage helfen.
 
Nunja, Du kannst das natuerlich Deinen Beduerfnissen anpassen.
Wird halt bloss stressiger fuer uns, da wir jedesmal ins RZ springen muessen, Taste und Moni ranklemmen, anstatt bei Problemen einfach mal nachzuschauen ;)
 
Im Falle eines Problems, kannst Du nur zu den festgelegten Zeiten z.B. "Flicken" einzuspielen. Ich benutze SSH schlüsselbasierend und deaktiviere den Zugang über Passwörter.
 
@heidegger,
"Ist so etwas sinnvoll?" <--designfrage, nicht zwingend auf bsd bezogen.

ps. und paranoia hat auch nicht unbedingt mit bsd zu tun! ;)
 
Original geschrieben von moonlook
Nunja, Du kannst das natuerlich Deinen Beduerfnissen anpassen.
Wird halt bloss stressiger fuer uns, da wir jedesmal ins RZ springen muessen, Taste und Moni ranklemmen, anstatt bei Problemen einfach mal nachzuschauen ;)
Zum Vergrößern anklicken....

Hehe, ich bin gerade in der heißen Phase des intensiven Testens in meinem Homenetwork, d. h. bei mir Zuhause ist alles so eingerichtet, daß es den Bedingungen in einem echten Netzwerk mit Zugriff über Internet möglichst nahe kommt. Ich werde mir reichlich Mühe geben, euch so wenig Arbeit wie möglich zu machen. Bevor ich endgültig zu bytecamp wechsle, muss ich als Anfänger noch einige Fragen klären.

;)
 
login.conf und dort die login time eingeben wann sich der User einloggen darf, oder die Gruppe...
 
Du weisst aber, dass du dich dank Murphy's Law immer genau dann einloggen willst/musst, wenn es nicht gestattet ist?

SCNR *g*
 
Nur noch so als Hinweis: ich habe vor einiger Zeit auch den Login eines User zeitlich begrenzen müssen und das via pam_time erledigt. Leider beschränkt dies jedoch nur die Login Time, d.h. wenn der User erstmal eingeloggt ist, wird er nicht wieder automatisch ausgeloggt sobald die Zeit um ist, er kann ganz normal weiter arbeiten (nur Logins gehen nicht mehr). Ich habe das dann so gelöst dass via cron der PC automatisch heruntergefahren wurde.
 
oder wie gesafr die Paketfilterregelen per cron ändern. So müssten auch bestehende Verbindungen kappbar sein.

Gruß, incmc
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben