[gelöst] SSH Zugriffe Userbasiert einschränken

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
tobiasd
Beiträge: 95
Registriert: 03.02.2011 15:23:12
Lizenz eigener Beiträge: GNU General Public License

[gelöst] SSH Zugriffe Userbasiert einschränken

Beitrag von tobiasd » 21.11.2018 07:12:40

Hallo zusammen,

ich stehe aktuell vor folgendem Problem:
Ich möchte das alle angelegten User nur von einer bestimmten IP-Adresse aus per SSH zugreifen können. Es gibt jedoch eine Ausnahme: eine Gruppe / ein bestimmter User soll weiterhin von allen IP-Adressen aus verbinden können.
Das habe ich mittels AllowUsers Username@IP bzw. Username@* in der sshd_conf schon mal umsetzen können. Allerdings habe ich bemerkt, dass jeder andere Account den ich im Worst Case vergessen habe, sich weiterhin anmelden kann. Kann man das irgendwie abstellen? Das ganze muss nicht zwingend über die sshd_conf ablaufen - ich bin auch dankbar für andere Ideen :D

Grüße
Zuletzt geändert von tobiasd am 17.01.2019 08:01:12, insgesamt 2-mal geändert.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: SSH Zugriffe Userbasiert einschränken

Beitrag von uname » 21.11.2018 08:19:41

Falls deine Anwender SSH-Keys verwenden müssen bzw. eigentlich dürfen (wovon ich aber mal nicht ausgehe), könnte man sie über ~/.ssh/authorized_keys bzw. am besten verschoben in eine andere, nur durch root veränderbare Verzeichnisstruktur einschränken. Bei Neuanlage von Benutzern könntest du für den Benutzer automatisiert einfach irgendeinen Quatsch eintragen.

Code: Alles auswählen

from="1.2.3.4" ssh-rsa  ....

tobiasd
Beiträge: 95
Registriert: 03.02.2011 15:23:12
Lizenz eigener Beiträge: GNU General Public License

Re: SSH Zugriffe Userbasiert einschränken

Beitrag von tobiasd » 21.11.2018 09:47:00

Stimmt, das könnte ich dann zumindest für die User verwenden. Denn die "User" von beliebigen IPs sind Geräte, an denen dann die Firmware angepasst werden müsste.
Obwohl ich dann ein neues Problem habe: ich kann kein Key Only auth mit "PasswordAuthentication no" hinterlegen. Kann man für bestimmte User hinterlegen, dass diese ausschließlich per Key angemeldet werden können?

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: SSH Zugriffe Userbasiert einschränken

Beitrag von mat6937 » 21.11.2018 09:57:17

tobiasd hat geschrieben: ↑ zum Beitrag ↑
21.11.2018 07:12:40
Allerdings habe ich bemerkt, dass jeder andere Account den ich im Worst Case vergessen habe, sich weiterhin anmelden kann.
Kann man das irgendwie abstellen?
Das geht z. B. mit einer Gruppe "sshusers", in der deine User dann Mitglied sein sollen und dem Eintrag:

Code: Alles auswählen

DenyGroups !sshusers
in der sshd_config.

tobiasd
Beiträge: 95
Registriert: 03.02.2011 15:23:12
Lizenz eigener Beiträge: GNU General Public License

Re: SSH Zugriffe Userbasiert einschränken

Beitrag von tobiasd » 27.11.2018 17:10:00

Das geht z. B. mit einer Gruppe "sshusers", in der deine User dann Mitglied sein sollen und dem Eintrag:

Code: Alles auswählen

DenyGroups !sshusers
in der sshd_config.
Funktioniert leider nicht. Ich kann mich weiterhin mit User anmelden, die nicht in der Gruppe sind. Alle anderen allow/deny Einträge wurden auskommentiert und ssh restarted.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: SSH Zugriffe Userbasiert einschränken

Beitrag von mat6937 » 28.11.2018 09:59:27

tobiasd hat geschrieben: ↑ zum Beitrag ↑
27.11.2018 17:10:00
Funktioniert leider nicht. Ich kann mich weiterhin mit User anmelden, die nicht in der Gruppe sind. Alle anderen allow/deny Einträge wurden ...
Dann zeige mal die Ausgabe von:

Code: Alles auswählen

cat /etc/ssh/sshd_config
cat /etc/group | grep -i sshusers
und von einem user der nicht in der Gruppe "sshusers" ist, die Ausgabe von:

tobiasd
Beiträge: 95
Registriert: 03.02.2011 15:23:12
Lizenz eigener Beiträge: GNU General Public License

Re: SSH Zugriffe Userbasiert einschränken

Beitrag von tobiasd » 17.01.2019 08:00:33

Keine Ahnung wo das Problem lag. Ich habe alles noch mal neu konfiguriert und nun passt es auch. Hatte wohl irgendwo noch einen Tippfehler :roll:
Danke für eure Unterstützung.

Antworten