разрешить root ssh доступ только одному хосту (IP): решение

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
MarvinFS
рядовой
Сообщения: 28
Зарегистрирован: 2008-11-26 17:41:01
Откуда: E-burg
Контактная информация:

разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение MarvinFS » 2010-02-04 22:10:22

некоторое время потратил на гугление, может кому пригодится.
задача: запретить всем заходить рутом по ssh, кроме одного хоста.

решение:


freebsd:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes

##restart sshd
/etc/rc.d/sshd restart

/etc/login.access
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6



linux:
/etc/ssh/sshd_config
## изменить PermitRootLogin с no на yes
PermitRootLogin yes

##restart sshd
/etc/init.d/ssh restart

/etc/pam.d/sshd
##раскомментировать строчку
#account required pam_access.so

/etc/security/access.conf
##добавить строчку: значит запретить заходить рутом кроме как с локалхоста и с 192.168.0.6
## ВНИМАНИЕ! Настройки начинают действовать сразу же! Не обрубите себе доступ!
-:root:ALL EXCEPT LOCAL 192.168.0.6
Последний раз редактировалось f_andrey 2010-02-05 10:43:48, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.
CU round,
MarvinFS

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

x6e6564_
проходил мимо

Re: разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение x6e6564_ » 2010-02-05 5:20:50

Другой вариант
man sshd_config
/etc/ssh/sshd_config

Код: Выделить всё

....
#PermitRootLogin no - по умолчанию не разрешено
.....
Match Address 10.10.10.10/32
        PermitRootLogin yes

Medison
ефрейтор
Сообщения: 58
Зарегистрирован: 2009-11-24 17:43:58
Откуда: MSK
Контактная информация:

Re: разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение Medison » 2010-02-06 9:31:04

Если в локалке хакеры, я бы root вообще закрыл, можно ведь и через su получить желаемое.
Имхо доступ по ip лучше файрволом регул-ровать, какие проблемы ограничить доступ к 22 порту на конкретном ip? Можно и порт переназначить.
Firefox, вкладка справа - about:config [tabs.insertRelatedAfterCurrent=false]

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение snorlov » 2010-02-06 13:42:33

Дурацкая идея, дать доступ на ssh руту, есть команда su, а если вообще хочется разрешить удаленное администрирование только с определенного ip, так используйте в sshd_config

Код: Выделить всё

 allowusers ВАСЯ@192.168.0.1
Можно еще дополнительно блокировать 22 порт файрволом...

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: разрешить root ssh доступ только одному хосту (IP): решение

Непрочитанное сообщение skeletor » 2010-02-07 12:00:16

Не дурацкая. Например, я с помощью этого делаю полный бэкап системы через rsync. Если вы знаете лучшие идеи для этого - предложите.

Аватара пользователя
Dimanok
рядовой
Сообщения: 24
Зарегистрирован: 2010-04-26 12:24:12
Откуда: Саратов
Контактная информация:

Re: разрешить root ssh доступ только одному хосту (IP): реше

Непрочитанное сообщение Dimanok » 2010-09-02 13:50:29

Подскажите как закрыть 22й порт в фаерволе, для всех кроме определенного IP ?
Centos 5.5