разрешить root ssh доступ только одному хосту (IP): решение

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
MarvinFS
рядовой
Сообщения: 28
Зарегистрирован: 2008-11-26 17:41:01
Откуда: E-burg
Контактная информация:

разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение MarvinFS » 2010-02-04 22:11:04

некоторое время потратил на гугление, может кому пригодится.
задача: запретить всем заходить рутом по ssh, кроме одного хоста.

решение:

linux:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes

##restart sshd
/etc/init.d/ssh restart

/etc/pam.d/sshd
##раскомментировать строчку
#account required pam_access.so

/etc/security/access.conf
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6

freebsd:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes

##restart sshd
/etc/rc.d/sshd restart

/etc/login.access
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6
CU round,
MarvinFS

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

evincar
рядовой
Сообщения: 38
Зарегистрирован: 2008-11-13 8:01:31
Откуда: СПб

Re: разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение evincar » 2010-02-05 10:04:06

А зачем логинится root'ом? sudo, su -c отменили?
Ыщите и обрящыте истину.

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1421
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение server801 » 2010-02-09 2:40:33

ну вместо рута пользователя вписать.тож самое

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение paix » 2010-02-18 0:51:40

зачем усложнять?

sshd_config:

Код: Выделить всё

AllowUsers root@myserverip
AllowUsers root@10.0.1.*
А еще лучше оставить ссш на фаерволе только для доверенных айпи.

В логине под рутом ничего плохого нет. Плохо в том, что куча юзеров имеют хреновые пароли для рута, и оставляют его висеть на мир на стандартном порту без ограничений по айпи. Про аудит логов они тоже нифига не знают.

у кого парануя - опенвпн в зубы и вперед.
With best wishes, Sergej Kandyla

Mikola
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-09-25 18:03:25

Re: разрешить root ssh доступ только одному хосту (IP): реше

Непрочитанное сообщение Mikola » 2010-04-20 10:32:02

в рутовом доступе по ssh плохо то что одну часть для входа потенциальный взломщик уже знает: root.
А если рутового доступа нет, надо еще угадать какой логин я себе придумал.
"Если в мире нет цветовой дифференциации штанов то нет цели! А если нет цели..." - пацак Би.

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: разрешить root ssh доступ только одному хосту (IP): реше

Непрочитанное сообщение paix » 2010-04-20 13:32:53

Mikola писал(а):в рутовом доступе по ssh плохо то что одну часть для входа потенциальный взломщик уже знает: root.
А если рутового доступа нет, надо еще угадать какой логин я себе придумал.

:) реально?
нет плохого и хорошего, есть кривые руки.
With best wishes, Sergej Kandyla

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение Alex Keda » 2016-11-12 18:25:05

мне вот понадобилось. по запросу выпала эта тема =)

в общем, у меня вышло так - /etc/ssh/sshd_config

Код: Выделить всё

# запрещаем вход рута глобально
PermitRootLogin no
# запрещаем toor в любом виде
DenyUsers       toor
# при совпадении с нужной сетью или локалхостом - разрешаем вход рута
Match Address 192.168.0.0/16,127.0.0.1
        PermitRootLogin yes
Убей их всех! Бог потом рассортирует...

ti-ural
проходил мимо
Сообщения: 1
Зарегистрирован: 2016-08-22 0:01:29
Контактная информация:

разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение ti-ural » 2016-11-23 14:53:30

А если IP динамический, то каким образом можно решить проблему?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение Alex Keda » 2016-11-23 15:07:10

никак.
не ходить рутом вообще.

им обычно и не ходят, но есть программы всякие разные ....
из-за них приходится такие тонкости изучать =)
Убей их всех! Бог потом рассортирует...