Yalnızca bir IP adresinden kök oturum açmaya izin ver

14

Centos'um var5.

Ben sadece belirli ip adresinden kök kullanıcı ile benim vps sunucusuna giriş yapabilirsiniz herhangi bir yolu var mı.

Ben sshd giriş yapmak için özel anahtar kullanabilirsiniz okudum. Ama sorun ben tüm webistes için SFTP kullanıyorum ve BT olmayan kullanıcıların SFTP ile giriş yapmak için tuşları kullanmasını istemiyorum.

VEYA, yalnızca root'un kabukta oturum açmak için anahtarları kullanabileceği herhangi bir yol var, ancak diğerleri için normal şifresi

centos  root  ssh 

Yanıtlar:

15

Şimdi daha iyi bir yol, Eşleme anahtar kelimesini kullanmaktır:

Match Host myworkstation
        PermitRootLogin yes

veya

Match Address 192.168.1.100
        PermitRootLogin yes

Bu şekilde PermitRootLogin 'hayır' olarak ayarlanmış olarak bırakılabilir, ancak yine de iş istasyonunuzdan root olarak giriş yapabilirsiniz.

Bu, örneğin, kökün iki ana bilgisayar arasındaki verileri yeniden senkronize etmesine izin vermek için de kullanılabilir.

dannyw
kaynak
rsync örneğiniz tam olarak bu soruyu google olarak kullandığım kullanım durumudur. Teşekkür ederim! ;)
Ocak
Bunun yalnızca kaynak IP adresinin ters DNS'sini kullanarak çalıştığını unutmayın. (en azından benim için tek yoldu)
mveroone
9

Öncelikle ayrıcalıksız bir kullanıcı olarak giriş yapmak daha sonra kök ayrıcalıkları kazanmak için 'su -' veya 'sudo' kullanın, ancak ...

Anahtarınıza IP kısıtlamasını her zaman ~ root / .ssh / yetkili_anahtarlar içine koyabilirsiniz:

from="192.168.1.100" ssh-rsa AAAAh9uif...auwehuf== yourkey@yourhost.com

Bu, ssh'ye yourkey@yourhost.com anahtarını yalnızca 192.168.1.100'den kullanmanıza izin verir.

Cakemox
kaynak
Kabul etti, ancak bu sftp, rsync, sshfs gibi şeyler için yapmak daha karmaşık ...
mveroone
3

kullanın:

Parola olmadan PermitRootLogin

/ Etc / ssh / sshd_config içinde. Kök hariç her kullanıcının şifre girişi yapmasına izin verilir. Kökün giriş yapmak için anahtarları kullanması gerekir.

rubiojr
kaynak
Bu çalışma işe yarayacak mı ?? u bunu denedin mi
Bu ayarı kullandığım her sunucuda kullanıyorum. Kök kaba kuvvet / dikte saldırılarını önler. unixhelp.ed.ac.uk/CGI/man-cgi?sshd_config+5
rubiojr
Bu git pullyine de kesiliyor gibi görünüyor : / etc / ssh / ssh_config: line 68: Hatalı yapılandırma seçeneği: permitrootlogin
geoidesic
Ayrıca PermitRootLogin de görünmüyorman ssh_config
jeoidesic
Ayrıca kolayca geçersiz kılınırssh -o PreferredAuthentications=password
geoidesic
2

Düzenleme sshd_config(genellikle /etc/ssh) ve eklemek veya aşağıdaki yönergeleri değiştirmek

  PermitRootLogin yes
  AllowUsers root@thehosttoallow

Ardından daemon'u yeniden başlatın 

  service ssh restart
Yüzük Ø
kaynak
OP kullanmak AllowUsersisterse, erişmek istediği tüm kullanıcıları belirtmesi gerektiğine inanıyorum . Örneğiniz kökün yalnızca ssh aracılığıyla kimlik doğrulamasına izin verir.
EEAA
1
Evet, bilerek yapıldı. Herhangi bir kullanıcının izin vermek için, *@thehosttoallowgerçekten herhangi bir kullanıcıyı bildirin.
Halka Ø
Ayrıca kolayca geçersiz kılınırssh -o PreferredAuthentications=password
geoidesic
0

İlk olarak, kullanıcıların neden anahtar yetkilendirmesini kullanmasını engellemek istersiniz? Bu benim için bir anlam ifade etmiyor.

İkincisi, ssh üzerinden root girişine izin vermeyin. Sadece yapmayın - buna ihtiyaç duymanız için iyi bir neden yok. Buradaki en iyi uygulamalara ve iyi bir nedenle. Belirli dosyaları okumak / yazmak için izin vermeniz gerekiyorsa, bunu standart linux dosya sistemi izinleriyle yapabilirsiniz. Daha hassas bir erişim kontrolüne ihtiyacınız varsa, linux ACL sistemine bakın.

EEAA
kaynak
root girişini devre dışı bırakırsam ve hiçbir kullanıcının herhangi bir ana yapılandırma dosyasına erişimi yoksa ne olur? Sonra root üzerinden giriş yapamadığım için kilitliyim
1
Ssh üzerinden root girişini devre dışı bıraktığınızda, root yine de konsoldan oturum açabilecektir. Ayrıca, sudo aracılığıyla her zaman normal bir root-esque izinleri verme seçeneğiniz vardır. Bu sftp için işe yaramaz, ancak bir şeyleri düzeltmeniz gerektiğinde bir başarısızlık olarak iyi çalışır ve izin vermenin tercih edilen yoludur.
EEAA
1
@ErikA Benzersiz bir ana bilgisayardan izin rootalmak güvenli değildir. Orada karşı eğilim oldu aracılığıyla erişim geri birkaç yıl (besore yaygındı), ancak izin yoluyla için sadece bir konak olduğunu güvensiz görünmüyor. roottelnetsshrootssh
Halka Ø
Tabii, belki de "güvenli" olabilir, ama yine de bunun kötü bir fikir olduğunu savunacağım. Bunu esas olarak, insanlara root erişimi elde etmek için kolay bir yol verildiğinde, erişim elde etmek için daha güvenli ve daha uygun bir yol kullanmak yerine kullanacaklarından dolayı söylüyorum (sudo).
EEAA
2
Yazar sorusu göz önüne alındığında, rootkullanıcı aracılığıyla idari görevleri gerçekleştirmek istediğini varsayabiliriz . rootBu durumda yalnızca bir ana bilgisayardan doğrudan erişime izin vermek makul bir alternatiftir.
Yüzük Ø
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.