Mam serwer OpenSSH 5.9p1 działający na systemie Ubuntu Precise 12.04, który akceptuje połączenia zarówno z sieci wewnętrznej, jak i Internetu. Chciałbym wymagać uwierzytelnienia klucza publicznego dla połączeń z Internetu, ale akceptuję uwierzytelnienie klucza publicznego lub hasła dla połączeń z sieci wewnętrznej. Czy mogę skonfigurować OpenSSH, aby to zaimplementować?
Odpowiedzi:
MatchDyrektywa /etc/ssh/sshd_configpozwala na selektywne zastosowanie dyrektyw konfiguracyjnych. Jednym z dostępnych kryteriów dopasowania jest adres źródłowy połączenia, więc można go użyć do zaimplementowania tego, co chcesz. Możesz domyślnie wyłączyć uwierzytelnianie hasła, a następnie włączyć je dla połączeń z wewnętrznych zakresów adresów IP sieci. (Pamiętaj, że chcesz również wyłączyć ChallengeResponseAuthentication, aby zapobiec użyciu haseł.) Ten przykład umożliwia uwierzytelnianie hasła ze wszystkich prywatnych zakresów adresów IP RFC1918. Więcej informacji można znaleźć na stronie podręcznika sshd_config .
PasswordAuthentication no
ChallengeResponseAuthentication no
Match Address 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
PasswordAuthentication yes
Pamiętaj, że blok dopasowania powinien zostać dodany na końcu pliku, w przeciwnym razie wszystko, co nastąpi po nim, zostanie dopasowane do następnego bloku dopasowania. Złe ustawienie bloku dopasowania może spowodować niemożność połączenia.