некоторое время потратил на гугление, может кому пригодится.
задача: запретить всем заходить рутом по ssh, кроме одного хоста.
решение:
freebsd:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes
##restart sshd
/etc/rc.d/sshd restart
/etc/login.access
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6
linux:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes
##restart sshd
/etc/init.d/ssh restart
/etc/pam.d/sshd
##раскомментировать строчку
#account required pam_access.so
/etc/security/access.conf
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6
разрешить root ssh доступ только одному хосту (IP): решение
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- MarvinFS
- рядовой
- Сообщения: 28
- Зарегистрирован: 2008-11-26 17:41:01
- Откуда: E-burg
- Контактная информация:
разрешить root ssh доступ только одному хосту (IP): решение
Последний раз редактировалось f_andrey 2010-02-05 10:43:48, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.
CU round,
MarvinFS
MarvinFS
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
Re: разрешить root ssh доступ только одному хосту (IP): решение
Другой вариант
man sshd_config
/etc/ssh/sshd_config
man sshd_config
/etc/ssh/sshd_config
Код: Выделить всё
....
#PermitRootLogin no - по умолчанию не разрешено
.....
Match Address 10.10.10.10/32
PermitRootLogin yes
-
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2009-11-24 17:43:58
- Откуда: MSK
- Контактная информация:
Re: разрешить root ssh доступ только одному хосту (IP): решение
Если в локалке хакеры, я бы root вообще закрыл, можно ведь и через su получить желаемое.
Имхо доступ по ip лучше файрволом регул-ровать, какие проблемы ограничить доступ к 22 порту на конкретном ip? Можно и порт переназначить.
Имхо доступ по ip лучше файрволом регул-ровать, какие проблемы ограничить доступ к 22 порту на конкретном ip? Можно и порт переназначить.
Firefox, вкладка справа - about:config [tabs.insertRelatedAfterCurrent=false]
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: разрешить root ssh доступ только одному хосту (IP): решение
Дурацкая идея, дать доступ на ssh руту, есть команда su, а если вообще хочется разрешить удаленное администрирование только с определенного ip, так используйте в sshd_config
Можно еще дополнительно блокировать 22 порт файрволом...
Код: Выделить всё
allowusers ВАСЯ@192.168.0.1
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: разрешить root ssh доступ только одному хосту (IP): решение
Не дурацкая. Например, я с помощью этого делаю полный бэкап системы через rsync. Если вы знаете лучшие идеи для этого - предложите.
- Dimanok
- рядовой
- Сообщения: 24
- Зарегистрирован: 2010-04-26 12:24:12
- Откуда: Саратов
- Контактная информация:
Re: разрешить root ssh доступ только одному хосту (IP): реше
Подскажите как закрыть 22й порт в фаерволе, для всех кроме определенного IP ?
Centos 5.5
Centos 5.5