forum.lissyara.su

[MarvinFS]

некоторое время потратил на гугление, может кому пригодится.
задача: запретить всем заходить рутом по ssh, кроме одного хоста.

решение:

linux:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes

##restart sshd
/etc/init.d/ssh restart

/etc/pam.d/sshd
##раскомментировать строчку
#account required pam_access.so

/etc/security/access.conf
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6

freebsd:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes

##restart sshd
/etc/rc.d/sshd restart

/etc/login.access
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6

[evincar]

А зачем логинится root'ом? sudo, su -c отменили?

[server801]

ну вместо рута пользователя вписать.тож самое

[paix]

зачем усложнять?

sshd_config:

Код: Выделить всё • Развернуть

AllowUsers root@myserverip
AllowUsers root@10.0.1.*

А еще лучше оставить ссш на фаерволе только для доверенных айпи.

В логине под рутом ничего плохого нет. Плохо в том, что куча юзеров имеют хреновые пароли для рута, и оставляют его висеть на мир на стандартном порту без ограничений по айпи. Про аудит логов они тоже нифига не знают.

у кого парануя - опенвпн в зубы и вперед.

[Mikola]

в рутовом доступе по ssh плохо то что одну часть для входа потенциальный взломщик уже знает: root.
А если рутового доступа нет, надо еще угадать какой логин я себе придумал.

[paix]

в рутовом доступе по ssh плохо то что одну часть для входа потенциальный взломщик уже знает: root.
А если рутового доступа нет, надо еще угадать какой логин я себе придумал.

реально?
нет плохого и хорошего, есть кривые руки.