Zezwól posiadaczom kluczy na dostęp do powłoki LUB logowanie się do adresów IP z białej listy

3

Jako pierwszą linię obrony przed atakami siłowymi ograniczyłem próby logowania SSH za pomocą opakowań TCP (domyślnie odmawiam dostępu i utrzymuję białą listę IP /etc/hosts.allow).

Czasami jednak muszę uzyskać dostęp do mojego serwera z adresu IP, który nie znajduje się na białej liście (a mój system blokuje moje własne próby).

Czy można zezwolić na logowanie SSH z kluczem dla wszystkich adresów IP, ale zabronić logowania tylko hasłem z adresów IP spoza danej białej listy? Wiem, że mogę skonfigurować SSH tak, aby zezwalał tylko na logowanie przy użyciu klucza, ale chciałbym zachować możliwość logowania przy użyciu hasła do zakresu adresów IP.

linux  ssh  iptables  openssh 
David Cain
źródło

Odpowiedzi:

5 
PasswordAuthentication no

Match Address 192.168.1.0/24
    PasswordAuthentication yes

Match Address 2001:470:1f0b:915::/64
    PasswordAuthentication yes

Ustawiam też różne pliki banerów, Banneraby wyjaśnić, kiedy loginy hasła są akceptowane.

grawitacja
źródło
1
To jest idealne, dziękuję. Dla przyszłych widzów, dla jasności, należy to do sshd_config.
David Cain
A co jeśli nie mam sshd_config? Korzystam z fail2ban, ale chcę ustawić go na białej liście. Chyba powinienem zadać nowe pytanie
Jonathan
@Jathanathan: Jestem pewien, że masz, sshd_configjeśli używasz OpenSSH. I tak, jeśli pytasz o fail2ban, nie ma to absolutnie nic wspólnego z tym pytaniem.
grawity
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.