Config sshd

Le
duss
Salut,
est-il possible facilement de n'autoriser l'authentification avec
password (PasswordAuthentication) uniquement depuis une IP precise?

Je voudrais une authentification avec clé uniquement depuis n'importe ou
et une authentification possible avec password mais seulement depuis
une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de
n'avoir l'auth que par cleme connaissant jme vois deja bloque a la
porte du serveur)

Des idees?? le man sshd_config ne m'aide pas trop

Merci
++
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Luc.Habert.00__arjf
Le #1913921
duss :

est-il possible facilement de n'autoriser l'authentification avec
password (PasswordAuthentication) uniquement depuis une IP precise?


Tu peux lancer un deuxième sshd sur un autre port, avec une config
différente. Et éventuellement ajouter une règle iptables pour modifier le
port de destination pour les paquets venant de l'IP précise vers le port 22.

Oui, c'est grotesque.

Arol
Le #1913920
Le Wed, 23 Jan 2008 13:28:27 +0100, duss a écrit:

Salut,
est-il possible facilement de n'autoriser l'authentification avec
password (PasswordAuthentication) uniquement depuis une IP precise?

Je voudrais une authentification avec clé uniquement depuis n'importe ou
et une authentification possible avec password mais seulement depuis
une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de
n'avoir l'auth que par cle...me connaissant jme vois deja bloque a la
porte du serveur...)

Des idees?? le man sshd_config ne m'aide pas trop...


C'est dans
/etc/pam.d/ssh
et
/etc/security/access.conf
qu'il faut voir

duss
Le #1913917


C'est dans
/etc/pam.d/ssh
et
/etc/security/access.conf
qu'il faut voir


Merci, c'est effectivement la qu'il fallait chercher :)

++

mpg
Le #1913909
Le (on) mercredi 23 janvier 2008 14:45, duss a écrit (wrote) :

C'est dans
/etc/pam.d/ssh
et
/etc/security/access.conf
qu'il faut voir


Merci, c'est effectivement la qu'il fallait chercher :)

Je peux te demander de donner quelques détails sur comment tu as fait ? Le

problème m'intéresse, mais je n'ai jamais réussi à comprendre la
configuration de pam...

Manuel.


duss
Le #1913902


Je peux te demander de donner quelques détails sur comment tu as fait ? Le

problème m'intéresse, mais je n'ai jamais réussi à comprendre la
configuration de pam...

Manuel.


Je n'ai pas encore tout configure parceque ca risque de prendre un peu
de temps que je n'ai pas trop en ce moment.
Dans /etc/pam.d/ssh activer ou rajouter la ligne:
account required pam_access.so
poour activer la lecture de /etc/security/access.conf.

C'est dans ce access.conf que tout se passe.
La syntaxe a pas l'air trop complique...
Je posterais ma conf quand elle sera faite.

++


duss
Le #1913898
Le (on) mercredi 23 janvier 2008 14:45, duss a écrit (wrote) :

C'est dans
/etc/pam.d/ssh
et
/etc/security/access.conf
qu'il faut voir
Merci, c'est effectivement la qu'il fallait chercher :)


Je peux te demander de donner quelques détails sur comment tu as fait ? Le

problème m'intéresse, mais je n'ai jamais réussi à comprendre la
configuration de pam...

Manuel.



Bon, en fait apres avoir passe un peu de temps dessus, je dois avouer
mon incapacité...je n'arrive pas du tout a voir comment je pourrais
faire pour interdire le login par mdp sauf depuis une adresse.
J'ai essaye plusieurs bidouilles sans succes, c'est soit login par cle
uniquement soit par cle ou mdp, ou alors pas de login du tout...

En fait je n'arrive pas a definir la methode d'authentification
supportée par rapport a l'origine (si c'est possible). Faut dire que moi
non plus je pige pas tout a PAM.
Si quelqu'un a un idee plus precise...

(J'ai l'impression que la solution de Luc serait finalement la plus
simple....)

++



Thomas
Le #16560261
In article duss
Salut,
est-il possible facilement de n'autoriser l'authentification avec
password (PasswordAuthentication) uniquement depuis une IP precise?

Je voudrais une authentification avec clé uniquement depuis n'importe ou
et une authentification possible avec password mais seulement depuis
une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de
n'avoir l'auth que par cle...me connaissant jme vois deja bloque a la
porte du serveur...)

Des idees?? le man sshd_config ne m'aide pas trop...



une combinaison de
Match
Address (ou Host, je sais pas)
PasswordAuthentication
ca ne marche pas ?

je sais pas, hein, j'ai jamais essayé


d'ailleurs, est ce que qqn aurait une doc de Match un rien plus
détaillée svp ?

parce que c'est pas évident de savoir
- ce qui se passe si on met plusieurs Match qui ont des "points communs"
(des utilisateurs se retrouvent dans plusieurs Match)
- comment on doit remplir les "critères" (que font Host et Address,
comment on doit écrire ce qu'on met derrière, ...)


et pendant que j'y suis, est ce que qqn aurait la même chose pour
AllowUsers etc ?

si on utilise à la fois AllowUsers et DenyGroups, qu'est ce qu'il en est
de ceux qui sont à la fois dans les utilisateurs et les groupes cités ?
et de ceux qui ne sont ni dans l'un ni dans l'autre ?
(l'ordre de lecture indiqué ne m'éclairci pas sur ce qui en découle ...)

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Publicité
Poster une réponse
Anonyme