|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Anton Shuko 2:5005/66 16 Apr 2006 23:14:22
To : Andy Neverowsky
Subject : Запретить руту ssh из Инета
--------------------------------------------------------------------------------
15 Apr 06 22:28, you wrote to Aleksey Barabanov:
>>> А как это поможет запретить руту соединяться с eth0,
>>> но РАЗРЕШИТЬ с eth1?
>>
>> Hадо поиграться с pam. Я не уверен в ответе "на вскидку", но именно
>> в pam можно проанализировать условия подключения "на лету" и
>> соответственно решить с авторизацией. Hе уверенность в том плане,
>> что я не назову конкретный модуль, и даже не берусь утверждать, что
>> такой модуль есть готовый, а не придется писать свой именно для
>> такой экзотики.
AN> Pam'ом пробовал. Запретить совсем совсем рутовый ssh - запросто, а вот
AN> с определенного интефейса - фиг. Во всяком случае я не нашел как. В
AN> sshd_config есть опции AllowUsers, DenyUsers. Hо в данном случае
AN> они работают не так, как хотелось бы. Если написать: AllowUsers * (или
AN> даже AllowUsers * root@my.net ) DenyUsers root@*
AN> То, несмотря на то, что root явно прописан в Allow, залогиниться не
AN> дает, поскольку он есть в Deny.
AN> Можно попробовать как подсказал "Andrew V. Scherbacov":
AN> AllowUsers *@127.0.0.1 *@192.168.1.0 andrew
AN> "что даст возможность всем, в том числе и руту подключаться только
AN> локально и с локальной сети, а юзеру andrew - еще и из интернета." Hо
AN> придется прописывать вручную всех, кому нужен доступ из Инета по ssh.
подними еще один sshd на другом порту и локальном интерфейсе. разреши там
логин руту и не парь людям мозг :)
Anton
--- GoldED/W32 3.0.1
* Origin: Пиво пить - здоровым быть !!! (2:5005/66)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
