[ssh] meerdere sshd-daemons onder Debian? - Linux en overige clients

vrijdag 5 maart 2004 08:23

Acties:

Topicstarter

Wat ik eigenlijk wil: SSH toegang van overal vandaan, maar alleen op het lokale netwerk wil ik root-access toestaan.

Ik denk dat dat het eenvoudigste op te lossen is door twee sshd daemons te draaien met verschillende config-files: eentje met met PermitRootLogin=no, bij de andere 'yes'.

De ene daemon draait dan op een poort die in de router opengezet is voor de buitenwereld, de andere op een poort die alleen binnen het lokale netwerk open is.

(mochten er eenvoudigere alternatieven zijn: graag!)

Alleen: hoe kan ik het handigste meerdere sshd-daemons laten draaien?

vrijdag 5 maart 2004 08:26

Acties:

RupS

Een tweede config file aanmaken en met `sshd -f /etc/sshd_config2` opstarten (zie man sshd)

vrijdag 5 maart 2004 09:17

Acties:

Verwijderd

Creëer een tweede ip-adres op je nic (of een tweede fysieke nic natuurlijk), en start inderdaad twee sshd deamon zoals RupS al aangeeft. Zet in de config files die de specifieke instances gebruiken de optie ListenAddress. In één van de twee configs geef je aan dat root mag inloggen, in de ander niet.

Is verder prima terug te vinden met man sshd_config trouwens.

vrijdag 5 maart 2004 10:31

Acties:

vanaalten

Topicstarter

De sshd-daemon die ik nu al heb start automatisch op als ik de PC aanzet - dus nog voordat er iemand ingelogd is - via rc.d, als ik het mij goed herinner.

Kan ik op een vergelijkbare manier die tweede opstarten?

Het liefst heb ik namelijk dat alle benodigde services lopen zonder dat ik ervoor moet inloggen.

(dus op commandline 'sshd -f ...' is niet zo wenselijk)

vrijdag 5 maart 2004 10:34

Acties:

BRAINLESS01

Je kunt een opstart-scriptje (bijvoorbeeld 'sshd2')in /etc/init.d maken wat sshd -f ... voor je uitvoert. Dan kun je met

code:

1	update-rc.d sshd2 defaults

dat script automatisch bij iedere boot laten starten. Kopieer een ander script uit die directory om de goede functies (start/stop) erin te krijgen.

[ Voor 3% gewijzigd door BRAINLESS01 op 05-03-2004 10:35 ]

vrijdag 5 maart 2004 10:35

Acties:

Kees

Serveradmin / BOFH / DoC

M_v_A schreef op 05 maart 2004 @ 10:31:
De sshd-daemon die ik nu al heb start automatisch op als ik de PC aanzet - dus nog voordat er iemand ingelogd is - via rc.d, als ik het mij goed herinner.

dus laat je de ander ook gewoon via rc.d opstarten?
gewoon de rc.sshd (of hoe die file ook heet) aanpassen zodat hij sshd twee keer opstart ipv een keer

[ Voor 15% gewijzigd door Kees op 05-03-2004 10:35 ]

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

vrijdag 5 maart 2004 10:40

Acties:

Verwijderd

Of de file kopieren en in de kopie de wijzigingen aanbrengen. Lijkt mij net iets duidelijker.

vrijdag 5 maart 2004 10:44

Acties:

Verwijderd

Kan toch met 1 daemon, root-access aanzetten vanaf je interne subnet. (ik pak ff m'n conf file erbij).

# Users
AllowUsers=MijnGewoneUserName root@192.168.1.*
#PermitRootLogin no

Dus ik kan met MijnGewoneUserName vanaf overal inloggen, en met m'n root account alleen van m'n interne netwerk.
Die PermitRootLogin no staat default aan geloof ik, en die heb ik uitgesterred.

(heb het zo dankzij tips op #netwerken )

[ Voor 65% gewijzigd door Verwijderd op 05-03-2004 10:47 ]

vrijdag 5 maart 2004 11:18

Acties:

vanaalten

Topicstarter

Geweldig, bedankt allemaal voor de tips!

Ik ga als eerste de suggestie van maui71 proberen - dat lijkt mij nog de meest efficiente en elegantste oplossing, maar via rc.d gaat mij nu ook wel lukken.

vrijdag 5 maart 2004 23:32

Acties:

Paul

Mag ik vragen waarom je dit wilt?

Want met "PermitRootLogon=no" kun je nog altijd su en sudo gebruiken, zodat je toch met root kunt werken. Zo omzeil je het hele probleem

Moet je alleen even een user, een password en su intypen (en de user kun je al opgeven aan bijv. PuTTY)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 6 maart 2004 00:15

Acties:

Flying_Thunder

Paul Nieuwkamp schreef op 05 maart 2004 @ 23:32:
Mag ik vragen waarom je dit wilt?

Want met "PermitRootLogon=no" kun je nog altijd su en sudo gebruiken, zodat je toch met root kunt werken. Zo omzeil je het hele probleem Moet je alleen even een user, een password en su intypen (en de user kun je al opgeven aan bijv. PuTTY)

Dat valt wel mee, je kunt bv. alleen toestaan dat alleen users uit de group 'wheel' mogen su'n. Niet dat je daar veel aan hebt, als een account uit de wheel group gecracked wordt...

Wat wel een oplossing kan zijn is er voor zorgen dat er niemand in de wheel group zit, en dat je dus alleen direct met root kan inloggen (hetzij vanaf elk ip, of vanaf een lokaal ip).

[ Voor 31% gewijzigd door Flying_Thunder op 06-03-2004 00:18 ]

zaterdag 6 maart 2004 11:05

Acties:

vanaalten

Topicstarter

M'n bedoeling is gewoon om root-toegang iets moeilijker te maken. Iemand zal eerst een user-acount moeten hacken, dan 'su' en ook nog even het root-password hacken. Da's allicht beter dan dat iemand direct kan proberen root te hacken.

Dicht zetten wat niet open hoeft te staan, toch?

Maar ook die opmerking van Flying_Thunder is wel goed, ga ik ook even naar kijken.

zaterdag 6 maart 2004 11:14

Acties:

Verwijderd

Paul Nieuwkamp schreef op 05 maart 2004 @ 23:32:
Mag ik vragen waarom je dit wilt?

Want met "PermitRootLogon=no" kun je nog altijd su en sudo gebruiken, zodat je toch met root kunt werken. Zo omzeil je het hele probleem Moet je alleen even een user, een password en su intypen (en de user kun je al opgeven aan bijv. PuTTY)

Directe root-toegang toestaan is normaal gesproken "not done" (tenzij je de enige gebruiker op dat systeem bent) omdat je later nooit kunt zien wie iets gedaan heeft mocht er iets misgegaan zijn. Security.

M_v_A schreef op 06 maart 2004 @ 11:05:
M'n bedoeling is gewoon om root-toegang iets moeilijker te maken. Iemand zal eerst een user-acount moeten hacken, dan 'su' en ook nog even het root-password hacken. Da's allicht beter dan dat iemand direct kan proberen root te hacken.

Dicht zetten wat niet open hoeft te staan, toch?

En waarom dan vanuit je interne netwerk _wel_ directe root-logins toestaan??

[ Voor 30% gewijzigd door Verwijderd op 06-03-2004 11:16 ]

zaterdag 6 maart 2004 13:45

Acties:

Flying_Thunder

Verwijderd schreef op 06 maart 2004 @ 11:14:
En waarom dan vanuit je interne netwerk _wel_ directe root-logins toestaan??

Dat heeft dus alleen zin als je zorgt dat normale users niet kunnen su'n

zaterdag 6 maart 2004 13:52

Acties:

Paul

Verwijderd schreef op 06 maart 2004 @ 11:14:
[...]

Directe root-toegang toestaan is normaal gesproken "not done" (tenzij je de enige gebruiker op dat systeem bent) omdat je later nooit kunt zien wie iets gedaan heeft mocht er iets misgegaan zijn. Security.

Waar beweer ik dat dan?

PermitRootLogin is bij mij ook de eerste optie die uit gaat hoor

Hmm, nu ik mijn eigen tekst teruglees kun je inderdaad misschien ook lezen dat ik aanbeveel PermitRootLogin op yes te zetten

Het probleem waar ik op doelde was "meerdere ssh-daemons"

Wat ook wel uit de laatste zin viel te halen

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 6 maart 2004 15:32

Acties:

vanaalten

Topicstarter

Verwijderd schreef op 06 maart 2004 @ 11:14:
En waarom dan vanuit je interne netwerk _wel_ directe root-logins toestaan??

1. Gemakzucht - ik verwacht met name de eerste tijd nog regelmatig aan het systeem te sleutelen als root, dan wil ik niet elke keer via een omweg inloggen;
2. Ik ben inderdaad de enige gebruiker op het systeem;
3. als je alleen lokaal als root kan inloggen, dan is dat volgens mij niet zo'n security-risk.