ssh ip/subnet controlling

Februar 19th, 2011 § 0 comments

Mit dem SSH-Server kann ein Unix Administrator den Zugriff auf das Gerät für seine User mit verschiedenen Methoden ermöglichen bzw. einschränken. Im Unix System Administration Handbook werden dazu auf Seite 673ff vier Methoden beschrieben, wie Schlüssel- und Passwortauthentifikation oder veraltete (weil unsichere) /etc/hosts.equiv Regeln, die den meisten aber bekannt sein sollten. Wer tippt schon gerne selber Passwörter ein, wenn man die Maschinen einfach die Schlüssel abgleichen lassen kann?

Welche Möglichkeiten hat man nun aber,wenn man den Zugang nur aus einem exklusiven Subnet ermöglichen möchte? Z.B. der eines Intranet wie 192.168.1.0/24 oder bspw. dem Subnet des SCC 141.54.0.0/16.

Dafür muss die PAM-Konfiguration für SSH unter /etc/pam.d/sshd angepasst werden:

account    required    pam_access.so

Danach können unter /etc/security/access.conf verschiedenste Regeln definiert werden. Von wo, wie und auf welchem Terminal sich ein User anmelden darf wird dort reglementiert.

In der Frage nach zulässigen Netzen von denen aus man sich verbinden möchte, sieht eine mögliche Regel für access.conf nun wie folgt aus:

+ : ALL : 141.54.0.0/16 192.168.1.0/24
- : ALL : ALL

Tagged , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

What's this?

You are currently reading ssh ip/subnet controlling at maschinenraum.

meta