Ansicht von 3 Beiträgen - 1 bis 3 (von insgesamt 3)
-
Beiträge
-
Folgendes Szenario: Ich habe 6 Debian-Kisten. Die eine ist die wichtigste, weil sie von den anderen backupt. Nun will ich, dass man sich auf keine dieser Kisten per ssh direkt mit root anmelden kann, außer von der Kiste, die backupt. Wie kann man das umsetzen? Weil, dadurch dass die eine Backup-Kiste noch per root rauf muss, kann ich nicht einfach in der /etc/ssh/sshd_config Zeile „PermitRootLogin no“ setzen.
Einen Lösungsansatz, den ich bisher noch nciht ausprobiert hatte (wollte ich jetzt machen), gab es bereits im CUL-Forum.Da das Forum ja zur Zeit geschlossen ist, habe ich dir mal den Thread kopiert:
Strubbl wrote:Ich möchte gern mein Linux so konfigurieren, dass man von keinem Rechner aus als root per SSH sich einloggen kann bis auf einen! Ja, dieses bis auf einen macht es mir schwer. Ansich kein schweres Thema. Doch wie kann ich root-ssh-Zugriff verbieten und jedoch für einen Rechner aus dem lokalen Netzwerk(IP fest und bekannt) zulassen. D.h. nur von einem Rechner geht der Zugriff als root per ssh.
Ich hab schon mit allen möglichen Einstellungen in der /etc/hosts.deny und /etc/hosts.allow rumgespielt, doch nichts davon brachte die Lösung.
Habt ihr dazu eine Idee?me1357 wrote:Das ganze ist möglich per pam_access.
Dazu unkommentiert man in der Datei /etc/pam.d/ssh die Zeile „account required pam_access.so“, oder schreibt sie einfach rein, wenn sich nicht schon auskommentiert drin steht.
Dann legt man in der Datei /etc/security/access.conf eine entsprechende Zeile an, die den root-login von alles IP-Adressen ausser einer bestimmten unterbindet.
Also beispielsweise so: „- : root : ALL EXCEPT 192.168.178.20“ und schon kann sich root nur noch von 192.168.178.20 anmelden.
Ansicht von 3 Beiträgen - 1 bis 3 (von insgesamt 3)
- Du musst angemeldet sein, um auf dieses Thema antworten zu können.