SSH. Управление доступом к серверу для одного пользователя.

0

1

Добрый день!

Есть сервер на Ubuntu.

Есть несколько пользователей SSH. Задача: дать доступ только из локальной сети. Никаких внешних подключений. В сервере 2 сетевухи (локальная и внешняя сеть).

И только для 1 пользователя разрешить доступ из вне и только по ключу. Как это сделать?

Большое спасибо!

Ссылка

←	Linux и mssql

Домашний сервер

→

man sshd_config
/Match (ip+user+PasswordAuthentication+PubkeyAuthentication)

~~sdio~~ ★★★★★
(22.07.12 12:12:27 MSK)

Ответ на: комментарий от sdio 22.07.12 12:12:27 MSK

Могли бы пример привести?

Introduces a conditional block. If all of the criteria on the Match line are satisfied, the keywords on the following lines override those set in the global section of the config file, until either another Match line or the end of the file.

The arguments to Match are one or more criteria-pattern pairs. The available criteria are User, Group, Host, and Address. The match patterns may consist of single entries or comma-separated lists and may use the wildcard and negation operators described in the PATTERNS section of ssh_config(5).

The patterns in an Address criteria may additionally contain addresses to match in CIDR address/masklen format, e.g. “192.0.2.0/24” or “3ffe:ffff::/32”. Note that the mask length provided must be consistent with the address - it is an error to specify a mask length that is too long for the address or one with bits set in this host portion of the address. For example, “192.0.2.0/33” and “192.0.2.0/8” respectively.

Only a subset of keywords may be used on the lines following a Match keyword. Available keywords are AllowAgentForwarding, AllowTcpForwarding, AuthorizedKeysFile, AuthorizedPrincipalsFile, Banner, ChrootDirectory, ForceCommand, GatewayPorts, GSSAPIAuthentication, HostbasedAuthentication, HostbasedUsesNameFromPacketOnly, KbdInteractiveAuthentication, KerberosAuthentication, MaxAuthTries, MaxSessions, PasswordAuthentication, PermitEmptyPasswords, PermitOpen, PermitRootLogin, PermitTunnel, PubkeyAuthentication, RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset, X11Forwarding and X11UseLocalHost.

Cerbere88
(22.07.12 12:21:58 MSK) автор топика

Ссылка

начало примерно такое

Match user Cerbere88
PasswordAuthentication no
KbdInteractiveAuthentication no
GSSAPIAuthentication no
KerberosAuthentication no
HostbasedAuthentication no
PubkeyAuthentication yes

zolden ★★★★★
(22.07.12 12:43:54 MSK)

Ссылка

Ответ на: комментарий от sdio 22.07.12 12:12:27 MSK

Учишь плохому.

Есть сервер на Ubuntu...

passwd -l <user>

~~vahtu~~
(22.07.12 13:16:20 MSK)

Ответ на: комментарий от vahtu 22.07.12 13:16:20 MSK

Настроек у sshd много, но они всеравно не настолько гибкие, как иногда нужно. Если к примеру нужно сообразить пользователю доступ в зависимости от значения в базе mysql, то я бы выбрал pam_exec и скрипт, который решает что делать в зависимости от каких-угодно параметров.

Komintern ★★★★★
(22.07.12 14:31:01 MSK)
Последнее исправление: Komintern 22.07.12 14:31:37 MSK (всего исправлений: 2)

Ответ на: комментарий от Komintern 22.07.12 14:31:01 MSK

Ты забыл про ключи. И так и не объяснил мне, чем passwd -l хуже.

~~vahtu~~
(22.07.12 14:38:40 MSK)

/etc/ssh/sshd_config
параметр ListenAddress

flant ★★★
(22.07.12 14:44:22 MSK)

Ссылка

Ответ на: комментарий от vahtu 22.07.12 14:38:40 MSK

passwd -l лочит юзера, выставляя ему неверный хеш пароля, и делая авторизацию паролем невозможной для этого юзера.
ТС-у надо разрешить доступ извне _только_ одному юзеру. Но чтобы из локальной сети ssh у всех работал. Т.е passwd -l его юзеру никак не спасет от того, что другие смогут зайти извне.

Komintern ★★★★★
(22.07.12 14:47:42 MSK)