Pregunta Limitar el inicio de sesión SSH por interfaz de origen


Quiero permitir que nadie en el 192.168.1.0-192.168.1.255 rango para poder iniciar sesión con una contraseña o una clave SSH, pero las personas fuera de ese rango solo pueden iniciar sesión con una clave SSH.

¿Se puede lograr esto sin más de un sshd?

Estoy en Ubuntu 9.04.


5
2017-09-10 21:07


origen




Respuestas:


Esto no se ha probado, pero configurar algo como esto al final de sshd_config Deberia trabajar:

PasswordAuthentication no
PubkeyAutenticacion si
Autenticacion RSA si

Dirección del partido 192.168.1.0/24
  Contraseña de autenticación sí

Básicamente, está permitiendo globalmente la autenticación de claves públicas, deshabilitando globalmente la autenticación de contraseñas y luego específicamente re-permitiendo autenticación de contraseña para cualquier persona en la subred 192.168.1.0/24.

Editar: Probablemente ya tenga las primeras tres líneas en otra parte de su configuración. Si lo hace, no es necesario volver a agregarlos. Sin embargo, el bloque "Match" debe estar al final del archivo.

También el RSAAuthentication la palabra clave es específica de SSH v1, que no permites, ¿verdad?


8
2017-09-10 21:30



Hey, tu respuesta funcionó muy bien, gracias. Solo tuve que agregar "Dirección" entre "Coincidir" y la dirección IP. ¿Puedes editarlo para agregar eso a la directiva? - lfaraone
Buena atrapada. Hecho. - Insyte
Este bloque de "Dirección de coincidencia" es excelente. ¡Lo acabo de usar para habilitar los inicios de sesión de root en 192.168.1.0! - neoice


Sí, eso creo. Puede usar las directivas AllowUser y MatchUser en el archivo sshd_config para configurar las directivas de configuración por usuario.


0
2017-09-10 21:16



Pero eso controla el acceso basado en el nombre de usuario y el host sin importar el método de autenticación que están usando. Él quiere controlar qué métodos de autenticación se permiten según el host. - freiheit
Yo estaba sugiriendo que uno podría agregar directivas de autenticación de contraseña en la configuración específica del usuario de MatchUser. No lo he probado, ¿sabes si eso funcionaría? Hasta ahora solo he usado las configuraciones de Chroot y Force-Command en MatchUser. - Devin Ceartas


Creo que puede hacer que esto funcione configurando sshd con PAM y Pubkey auth, y luego configure PAM para permitir el acceso solo desde ciertas subredes. Este truco funciona porque sshd no le pregunta nada a PAM acerca de la autenticación basada en claves.

En / etc / ssh / sshd_config (creo que estos son los valores predeterminados de todos modos en Ubuntu) algo como:

PubkeyAuthentication yes
ChallengeResponseAuthentication no
UsePAM yes

En /etc/pam.d/sshd descomente la línea pam_access (creo que en Ubuntu está presente en la secuencia correcta pero comentó):

account required pam_access.so

En /etc/security/access.conf:

+:ALL:192.168.1.0/24

Nota: no he probado esto en absoluto.


0
2017-09-10 21:22