Salut,
est-il possible facilement de n'autoriser l'authentification avec
password (PasswordAuthentication) uniquement depuis une IP precise?
Je voudrais une authentification avec clé uniquement depuis n'importe ou
et une authentification possible avec password mais seulement depuis
une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de
n'avoir l'auth que par cle...me connaissant jme vois deja bloque a la
porte du serveur...)
Des idees?? le man sshd_config ne m'aide pas trop...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Luc.Habert.00__arjf
duss :
est-il possible facilement de n'autoriser l'authentification avec password (PasswordAuthentication) uniquement depuis une IP precise?
Tu peux lancer un deuxième sshd sur un autre port, avec une config différente. Et éventuellement ajouter une règle iptables pour modifier le port de destination pour les paquets venant de l'IP précise vers le port 22.
Oui, c'est grotesque.
duss :
est-il possible facilement de n'autoriser l'authentification avec
password (PasswordAuthentication) uniquement depuis une IP precise?
Tu peux lancer un deuxième sshd sur un autre port, avec une config
différente. Et éventuellement ajouter une règle iptables pour modifier le
port de destination pour les paquets venant de l'IP précise vers le port 22.
est-il possible facilement de n'autoriser l'authentification avec password (PasswordAuthentication) uniquement depuis une IP precise?
Tu peux lancer un deuxième sshd sur un autre port, avec une config différente. Et éventuellement ajouter une règle iptables pour modifier le port de destination pour les paquets venant de l'IP précise vers le port 22.
Oui, c'est grotesque.
Arol
Le Wed, 23 Jan 2008 13:28:27 +0100, duss a écrit:
Salut, est-il possible facilement de n'autoriser l'authentification avec password (PasswordAuthentication) uniquement depuis une IP precise?
Je voudrais une authentification avec clé uniquement depuis n'importe ou et une authentification possible avec password mais seulement depuis une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de n'avoir l'auth que par cle...me connaissant jme vois deja bloque a la porte du serveur...)
Des idees?? le man sshd_config ne m'aide pas trop...
C'est dans /etc/pam.d/ssh et /etc/security/access.conf qu'il faut voir
Le Wed, 23 Jan 2008 13:28:27 +0100, duss a écrit:
Salut,
est-il possible facilement de n'autoriser l'authentification avec
password (PasswordAuthentication) uniquement depuis une IP precise?
Je voudrais une authentification avec clé uniquement depuis n'importe ou
et une authentification possible avec password mais seulement depuis
une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de
n'avoir l'auth que par cle...me connaissant jme vois deja bloque a la
porte du serveur...)
Des idees?? le man sshd_config ne m'aide pas trop...
C'est dans
/etc/pam.d/ssh
et
/etc/security/access.conf
qu'il faut voir
Salut, est-il possible facilement de n'autoriser l'authentification avec password (PasswordAuthentication) uniquement depuis une IP precise?
Je voudrais une authentification avec clé uniquement depuis n'importe ou et une authentification possible avec password mais seulement depuis une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de n'avoir l'auth que par cle...me connaissant jme vois deja bloque a la porte du serveur...)
Des idees?? le man sshd_config ne m'aide pas trop...
C'est dans /etc/pam.d/ssh et /etc/security/access.conf qu'il faut voir
duss
C'est dans /etc/pam.d/ssh et /etc/security/access.conf qu'il faut voir
Merci, c'est effectivement la qu'il fallait chercher :)
++
C'est dans
/etc/pam.d/ssh
et
/etc/security/access.conf
qu'il faut voir
Merci, c'est effectivement la qu'il fallait chercher :)
Le (on) mercredi 23 janvier 2008 14:45, duss a écrit (wrote) :
C'est dans /etc/pam.d/ssh et /etc/security/access.conf qu'il faut voir
Merci, c'est effectivement la qu'il fallait chercher :)
Je peux te demander de donner quelques détails sur comment tu as fait ? Le
problème m'intéresse, mais je n'ai jamais réussi à comprendre la configuration de pam...
Manuel.
duss
Je peux te demander de donner quelques détails sur comment tu as fait ? Le
problème m'intéresse, mais je n'ai jamais réussi à comprendre la configuration de pam...
Manuel.
Je n'ai pas encore tout configure parceque ca risque de prendre un peu de temps que je n'ai pas trop en ce moment. Dans /etc/pam.d/ssh activer ou rajouter la ligne: account required pam_access.so poour activer la lecture de /etc/security/access.conf.
C'est dans ce access.conf que tout se passe. La syntaxe a pas l'air trop complique... Je posterais ma conf quand elle sera faite.
++
Je peux te demander de donner quelques détails sur comment tu as fait ? Le
problème m'intéresse, mais je n'ai jamais réussi à comprendre la
configuration de pam...
Manuel.
Je n'ai pas encore tout configure parceque ca risque de prendre un peu
de temps que je n'ai pas trop en ce moment.
Dans /etc/pam.d/ssh activer ou rajouter la ligne:
account required pam_access.so
poour activer la lecture de /etc/security/access.conf.
C'est dans ce access.conf que tout se passe.
La syntaxe a pas l'air trop complique...
Je posterais ma conf quand elle sera faite.
Je peux te demander de donner quelques détails sur comment tu as fait ? Le
problème m'intéresse, mais je n'ai jamais réussi à comprendre la configuration de pam...
Manuel.
Je n'ai pas encore tout configure parceque ca risque de prendre un peu de temps que je n'ai pas trop en ce moment. Dans /etc/pam.d/ssh activer ou rajouter la ligne: account required pam_access.so poour activer la lecture de /etc/security/access.conf.
C'est dans ce access.conf que tout se passe. La syntaxe a pas l'air trop complique... Je posterais ma conf quand elle sera faite.
++
duss
Le (on) mercredi 23 janvier 2008 14:45, duss a écrit (wrote) :
C'est dans /etc/pam.d/ssh et /etc/security/access.conf qu'il faut voir Merci, c'est effectivement la qu'il fallait chercher :)
Je peux te demander de donner quelques détails sur comment tu as fait ? Le
problème m'intéresse, mais je n'ai jamais réussi à comprendre la configuration de pam...
Manuel.
Bon, en fait apres avoir passe un peu de temps dessus, je dois avouer mon incapacité...je n'arrive pas du tout a voir comment je pourrais faire pour interdire le login par mdp sauf depuis une adresse. J'ai essaye plusieurs bidouilles sans succes, c'est soit login par cle uniquement soit par cle ou mdp, ou alors pas de login du tout...
En fait je n'arrive pas a definir la methode d'authentification supportée par rapport a l'origine (si c'est possible). Faut dire que moi non plus je pige pas tout a PAM. Si quelqu'un a un idee plus precise...
(J'ai l'impression que la solution de Luc serait finalement la plus simple....)
++
Le (on) mercredi 23 janvier 2008 14:45, duss a écrit (wrote) :
C'est dans
/etc/pam.d/ssh
et
/etc/security/access.conf
qu'il faut voir
Merci, c'est effectivement la qu'il fallait chercher :)
Je peux te demander de donner quelques détails sur comment tu as fait ? Le
problème m'intéresse, mais je n'ai jamais réussi à comprendre la
configuration de pam...
Manuel.
Bon, en fait apres avoir passe un peu de temps dessus, je dois avouer
mon incapacité...je n'arrive pas du tout a voir comment je pourrais
faire pour interdire le login par mdp sauf depuis une adresse.
J'ai essaye plusieurs bidouilles sans succes, c'est soit login par cle
uniquement soit par cle ou mdp, ou alors pas de login du tout...
En fait je n'arrive pas a definir la methode d'authentification
supportée par rapport a l'origine (si c'est possible). Faut dire que moi
non plus je pige pas tout a PAM.
Si quelqu'un a un idee plus precise...
(J'ai l'impression que la solution de Luc serait finalement la plus
simple....)
Le (on) mercredi 23 janvier 2008 14:45, duss a écrit (wrote) :
C'est dans /etc/pam.d/ssh et /etc/security/access.conf qu'il faut voir Merci, c'est effectivement la qu'il fallait chercher :)
Je peux te demander de donner quelques détails sur comment tu as fait ? Le
problème m'intéresse, mais je n'ai jamais réussi à comprendre la configuration de pam...
Manuel.
Bon, en fait apres avoir passe un peu de temps dessus, je dois avouer mon incapacité...je n'arrive pas du tout a voir comment je pourrais faire pour interdire le login par mdp sauf depuis une adresse. J'ai essaye plusieurs bidouilles sans succes, c'est soit login par cle uniquement soit par cle ou mdp, ou alors pas de login du tout...
En fait je n'arrive pas a definir la methode d'authentification supportée par rapport a l'origine (si c'est possible). Faut dire que moi non plus je pige pas tout a PAM. Si quelqu'un a un idee plus precise...
(J'ai l'impression que la solution de Luc serait finalement la plus simple....)
++
Thomas
In article <479732eb$0$17009$, duss wrote:
Salut, est-il possible facilement de n'autoriser l'authentification avec password (PasswordAuthentication) uniquement depuis une IP precise?
Je voudrais une authentification avec clé uniquement depuis n'importe ou et une authentification possible avec password mais seulement depuis une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de n'avoir l'auth que par cle...me connaissant jme vois deja bloque a la porte du serveur...)
Des idees?? le man sshd_config ne m'aide pas trop...
une combinaison de Match Address (ou Host, je sais pas) PasswordAuthentication ca ne marche pas ?
je sais pas, hein, j'ai jamais essayé
d'ailleurs, est ce que qqn aurait une doc de Match un rien plus détaillée svp ?
parce que c'est pas évident de savoir - ce qui se passe si on met plusieurs Match qui ont des "points communs" (des utilisateurs se retrouvent dans plusieurs Match) - comment on doit remplir les "critères" (que font Host et Address, comment on doit écrire ce qu'on met derrière, ...)
et pendant que j'y suis, est ce que qqn aurait la même chose pour AllowUsers etc ?
si on utilise à la fois AllowUsers et DenyGroups, qu'est ce qu'il en est de ceux qui sont à la fois dans les utilisateurs et les groupes cités ? et de ceux qui ne sont ni dans l'un ni dans l'autre ? (l'ordre de lecture indiqué ne m'éclairci pas sur ce qui en découle ...)
In article <479732eb$0$17009$426a74cc@news.free.fr>,
duss <duss@aretirergmail.voussavezquoi> wrote:
Salut,
est-il possible facilement de n'autoriser l'authentification avec
password (PasswordAuthentication) uniquement depuis une IP precise?
Je voudrais une authentification avec clé uniquement depuis n'importe ou
et une authentification possible avec password mais seulement depuis
une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de
n'avoir l'auth que par cle...me connaissant jme vois deja bloque a la
porte du serveur...)
Des idees?? le man sshd_config ne m'aide pas trop...
une combinaison de
Match
Address (ou Host, je sais pas)
PasswordAuthentication
ca ne marche pas ?
je sais pas, hein, j'ai jamais essayé
d'ailleurs, est ce que qqn aurait une doc de Match un rien plus
détaillée svp ?
parce que c'est pas évident de savoir
- ce qui se passe si on met plusieurs Match qui ont des "points communs"
(des utilisateurs se retrouvent dans plusieurs Match)
- comment on doit remplir les "critères" (que font Host et Address,
comment on doit écrire ce qu'on met derrière, ...)
et pendant que j'y suis, est ce que qqn aurait la même chose pour
AllowUsers etc ?
si on utilise à la fois AllowUsers et DenyGroups, qu'est ce qu'il en est
de ceux qui sont à la fois dans les utilisateurs et les groupes cités ?
et de ceux qui ne sont ni dans l'un ni dans l'autre ?
(l'ordre de lecture indiqué ne m'éclairci pas sur ce qui en découle ...)
Salut, est-il possible facilement de n'autoriser l'authentification avec password (PasswordAuthentication) uniquement depuis une IP precise?
Je voudrais une authentification avec clé uniquement depuis n'importe ou et une authentification possible avec password mais seulement depuis une IP (au cas ou la cle est perdue..je trouve ca un peu dangereux de n'avoir l'auth que par cle...me connaissant jme vois deja bloque a la porte du serveur...)
Des idees?? le man sshd_config ne m'aide pas trop...
une combinaison de Match Address (ou Host, je sais pas) PasswordAuthentication ca ne marche pas ?
je sais pas, hein, j'ai jamais essayé
d'ailleurs, est ce que qqn aurait une doc de Match un rien plus détaillée svp ?
parce que c'est pas évident de savoir - ce qui se passe si on met plusieurs Match qui ont des "points communs" (des utilisateurs se retrouvent dans plusieurs Match) - comment on doit remplir les "critères" (que font Host et Address, comment on doit écrire ce qu'on met derrière, ...)
et pendant que j'y suis, est ce que qqn aurait la même chose pour AllowUsers etc ?
si on utilise à la fois AllowUsers et DenyGroups, qu'est ce qu'il en est de ceux qui sont à la fois dans les utilisateurs et les groupes cités ? et de ceux qui ne sont ni dans l'un ni dans l'autre ? (l'ordre de lecture indiqué ne m'éclairci pas sur ce qui en découle ...)