Synology-Forum.nl

Tweaks / Addons A.K.A. The Underground => Optware / IPKG / Telnet => Topic gestart door: raptile op 15 mei 2012, 12:04:20

Titel: inloggen met root account alleen vanaf lokaal netwerk
Bericht door: raptile op 15 mei 2012, 12:04:20

Inloggen met het root account vanaf 192.168.1.0/24 toestaan en vanaf andere ip adressen niet, behalve als er een rsakey wordt gebruikt.
Is dat mogelijk?

Titel: Re: inloggen met root account alleen vanaf lokaal netwerk
Bericht door: Goner op 15 mei 2012, 14:20:14

Er zijn wat pages met security advies voor SSH, maar die staan er niet bij ...

http://www.thegeekstuff.com/2011/05/openssh-options/ (http://www.thegeekstuff.com/2011/05/openssh-options/)
http://wiki.centos.org/HowTos/Network/SecuringSSH (http://wiki.centos.org/HowTos/Network/SecuringSSH)

Titel: Re: inloggen met root account alleen vanaf lokaal netwerk
Bericht door: raptile op 15 mei 2012, 14:41:35

Ik was dit ook al tegen gekomen op het net:

Code: [Selecteer]

in the file configuration of server sshd : /etc/sshd/sshd_config
you add 2 keys
ALLOWUSERS
DENYUSERS
in allowusers you write your LAN and in your denyusers you write the blocked address
the syntax that
ALLOWUSERS user@hostname
DENYUSERS user@hostname
for example
ALLOWUSERS root@192.168.0.*
DENYUSERS root@! 192.168.0.*
in this way i mean that my LAN IP from 192.168.0.1--192.168.168.0.254

Ik heb nu al uitgezet dat je gewoon met cleartext passwords in kan loggen en dat dit alleen gaat m.b.v. een sshkey.

Code: [Selecteer]

#RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys


# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no

Zo ben ik al een stuk beter beveiligd.
Ik zal morgen jouw pagina's ook wel even doorlopen om nog even wat meer te leren :-)
Thanks!

Titel: Re: inloggen met root account alleen vanaf lokaal netwerk
Bericht door: Goner op 15 mei 2012, 16:19:15

Wat ook echt goed werkt is de standaard poornummmers veranderen !
Ik kreeg al heel snel inlog-pogingen op o.a. 21 en 22 en heb die dus aan de 'buitenkant' veranderd in bijv. 7021 en 7022 - die worden namelijk niet gescand.
Forward in je router 7022 -> 22 op je NAS ...

Titel: Re: inloggen met root account alleen vanaf lokaal netwerk
Bericht door: raptile op 15 mei 2012, 16:26:15

Citaat van: "Goner"

Wat ook echt goed werkt is de standaard poornummmers veranderen !
Ik kreeg al heel snel inlog-pogingen op o.a. 21 en 22 en heb die dus aan de 'buitenkant' veranderd in bijv. 7021 en 7022 - die worden namelijk niet gescand.
Forward in je router 7022 -> 22 op je NAS ...

Dat had ik inderdaad al gedaan maar vind dat persoonlijk veel te basic.