[Rozw.] Blokowanie dostępu do ssh

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Kean
Użytkownik
Posty: 79
Rejestracja: 2005-12-06, 21:33

[Rozw.] Blokowanie dostępu do ssh

Post autor: Kean »

Mam paru userów którzy mają dostęp do ftp (do obslugi WWW) więc mają konta w systemie itd. Na tym samym serwerze działa też SSHD. Chciał bym ograniczyć dostęp do SSH tylko dla konkretnych loginów, tych które mam uznam, że są godne zaufania :)
Jak to zrobić?
Ostatnio zmieniony 2007-10-19, 16:50 przez Kean, łącznie zmieniany 2 razy.
Awatar użytkownika
dienet
Moderator
Posty: 2105
Rejestracja: 2007-07-24, 18:58
Lokalizacja: Racibórz/Rybnik

Re: [Rozw.] Blokowanie dostępu do ssh

Post autor: dienet »

Plik

Kod: Zaznacz cały

/etc/passwd
Ostatnie pole jak sie nie myle: zamien np na /bin/false
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: [Rozw.] Blokowanie dostępu do ssh

Post autor: miszmaniac »

Edytujesz plik sshd_config:

Kod: Zaznacz cały

PermitRootLogin no
AllowUsers user1 user2 user3
Restart SSH i już nic nie musisz więcej robić.
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
Awatar użytkownika
Sad Mephisto
Administrator
Posty: 2824
Rejestracja: 2004-05-22, 13:24
Lokalizacja: Zabrze
Kontakt:

Re: [Rozw.] Blokowanie dostępu do ssh

Post autor: Sad Mephisto »

dienet, zazwyczaj ustawia się to na /usr/bin/passwd, jest to wygodniejsze. Wtedy użytkownik od razu po zalogowaniu się ma tylko możliwość zmiany swojego hasła.
[i]Thank you for noticing this notice. Now that you've noticed this notice, you may have noticed that this notice is noticably unnoticable.
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]
Awatar użytkownika
dienet
Moderator
Posty: 2105
Rejestracja: 2007-07-24, 18:58
Lokalizacja: Racibórz/Rybnik

Re: [Rozw.] Blokowanie dostępu do ssh

Post autor: dienet »

Sad Mephisto, ...ktore tez dziala na ftp. No bardzo sprytne - nie zdawalem sobie z tak oczywistej sprawy. Czlowiek zawsze sie czegos uczy.
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
Awatar użytkownika
Ciuciu
Administrator
Posty: 921
Rejestracja: 2004-05-26, 21:01
Lokalizacja: 3C17y
Kontakt:

Re: [Rozw.] Blokowanie dostępu do ssh

Post autor: Ciuciu »

A czy przypadkiem to co wpiszemy w polu shell nie musi być poprawnym shellem? czyli nie musi występować w /etc/shells ?

Z tego co pamiętam kiedyś miałem problemy z ftpem, który nie chciał nawiązać połączenia, przy wpisaniu np /dev/false na pozycji powłoki użytkownika w /etc/passwd
[color=#888888][i][size=75]Whatever walks in my heart
Will walk alone...[/size][/i][/color]
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: [Rozw.] Blokowanie dostępu do ssh

Post autor: miszmaniac »

Tak, bo w proftpd jest opcja, require valid shell, jeśli jest wyłączona to brak powłoki nie ma znaczenia.
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: [Rozw.] Blokowanie dostępu do ssh

Post autor: Radek_R »

miszmaniac pisze:Edytujesz plik sshd_config:

Kod: Zaznacz cały

PermitRootLogin no
AllowUsers user1 user2 user3
Restart SSH i już nic nie musisz więcej robić.
A nie lepiej

Kod: Zaznacz cały

AllowGroups grupa_ssh
Potem wystarczy dodać usera do danej grupy, nie trzeba też restartować daemona. Mniej kłopotu :)
#358274
http://www.prook.net
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: [Rozw.] Blokowanie dostępu do ssh

Post autor: miszmaniac »

Może i lepiej, ja zawsze używałem tak :)
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
ODPOWIEDZ