inloggen met root account alleen vanaf lokaal netwerk

[raptile]

Inloggen met het root account vanaf 192.168.1.0/24 toestaan en vanaf andere ip adressen niet, behalve als er een rsakey wordt gebruikt.
Is dat mogelijk?

[Goner]

Er zijn wat pages met security advies voor SSH, maar die staan er niet bij ...

http://www.thegeekstuff.com/2011/05/openssh-options/
http://wiki.centos.org/HowTos/Network/SecuringSSH

[raptile]

Ik was dit ook al tegen gekomen op het net:

Code: [Selecteer]

in the file configuration of server sshd : /etc/sshd/sshd_config
you add 2 keys
ALLOWUSERS
DENYUSERS
in allowusers you write your LAN and in your denyusers you write the blocked address
the syntax that
ALLOWUSERS user@hostname
DENYUSERS user@hostname
for example
ALLOWUSERS root@192.168.0.*
DENYUSERS root@! 192.168.0.*
in this way i mean that my LAN IP from 192.168.0.1--192.168.168.0.254

Ik heb nu al uitgezet dat je gewoon met cleartext passwords in kan loggen en dat dit alleen gaat m.b.v. een sshkey.

Code: [Selecteer]

#RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys


# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no

Zo ben ik al een stuk beter beveiligd.
Ik zal morgen jouw pagina's ook wel even doorlopen om nog even wat meer te leren :-)
Thanks!

[Goner]

Wat ook echt goed werkt is de standaard poornummmers veranderen !
Ik kreeg al heel snel inlog-pogingen op o.a. 21 en 22 en heb die dus aan de 'buitenkant' veranderd in bijv. 7021 en 7022 - die worden namelijk niet gescand.
Forward in je router 7022 -> 22 op je NAS ...

[raptile]

Wat ook echt goed werkt is de standaard poornummmers veranderen !
Ik kreeg al heel snel inlog-pogingen op o.a. 21 en 22 en heb die dus aan de 'buitenkant' veranderd in bijv. 7021 en 7022 - die worden namelijk niet gescand.
Forward in je router 7022 -> 22 op je NAS ...

Dat had ik inderdaad al gedaan maar vind dat persoonlijk veel te basic.