Sshd & local network

Автор: ushakov Дата: 31.05.2005 17:06 У меня есть небольшьшая домашняя сеть, в нее смотрит eth1, и есть подключение в internet (в него смотрит eth0). Сейчас во имя безопасности у меня sshd не поднят. Я хочу, чтобы sshd позволял соединения из локальной сети и игнорировал попытки соединений из internet. В файле /etc/ssh/ssh_config & /etc/ssh/sshd_config есть параметр ListenAddress (описание в man'е не очень внятное). Правильно ли я понял, что если я через запятую (разделителя в man'е тоже не указано) укажу адреса локальной сети, то я добьюсь желаемого эффекта?
Re: sshd & local network 31.05.2005 19:42Bircoph На счёт запятой не знаю, но можно задать параметр
ListenAddress несколько раз, и тогда он разрешит вход на все
указанные таким образом адреса.

А вот как задать диапазон, я не знаю - самому интересно.
Re: sshd & local network 31.05.2005 21:34sergeil ushakov писал(а):

> У меня есть небольшьшая домашняя сеть, в нее смотрит eth1, и
> есть подключение в internet (в него смотрит eth0). Сейчас во
> имя безопасности у меня sshd не поднят.
> ... Я хочу, чтобы sshd
> позволял соединения из локальной сети и игнорировал попытки
> соединений из internet.

1. Вы можете использовать tcp_wrapper (/etc/hosts.allow, /etc/hosts.deny)
В нем могут быть описано какие хосты к каким сервисам этого хоста могут
доступится. Ну а обычное содержимое
/etc/hosts.deny
#--- CUT HERE
ALL: ALL
#--- CUT HERE

То есть все, что не разрешено - запрещено Улыбка.

2. /etc/ssh/sshd_config
ListenAddress - адрес ЛОКАЛЬНОГО интерфейса, по которому демон принимает
запросы на соединение (слушает). То есть, у Вас нескольуо сетевых
интерфейсах. Например eth0, eth1, lo, ...
В обычной ситуации демон принимает запросы на адрес ЛЮБОГО их этих интерфейсов.
Но вы можете указать, например, только адрес eth1. Напимер 192.168.1.1
Тогда демон будет отвечать только в случае, если запрос придет на этот адрес.
См. функцию bind().

3. AllowUsers
Еще один параметр для повышения защищенности ssh.
Вы указываете список имен пользователей, которым разрешено использовать сервис.
То есть, чтобы получить доступ root через SSH, необходимо залогинится
как пользователь, авторизоваться как пользователь и потом, если Вам разрешено
делать su или sudo, ну ..., тогда конечно.

This keyword can be followed by a list of user name patterns, separated by spaces.
If specified, login is allowed only for user names that match one of the patterns.
'*' and '?' can be used as wildcards in the patterns.
Only user names are valid; a numerical user ID is not recognized. By default,
login is allowed for all users.
If the pattern takes the form USER@HOST then USER and HOST are separately checked,
restricting logins to particular users from particular hosts.

Надеюсь что помог...
Re: sshd & local network 31.05.2005 21:37ushakov Большое спасибо!
RSS-материал