OpenForum RSS: ssh: Установить PasswordAuthentication в зависимости от сети https://www.opennet.ru/openforum/vsluhforumID10/4945.html Доброго времени суток.<br>ОС: Centos 5, вопрос в следующем:<br>можно ли установить в параметрах sshd PasswordAuthentication = (yes/no) в зависимости от ip хоста, от которого пришел запрос на соединение?<br>Хотелось бы увидеть: внутри локальной сети допускается авторизация по паролю, из внешней сети - только по ключу.<br>Пока в /etc/ssh/sshd_config<br>PermitRootLogin without-password<br>PasswordAuthentication yes<br>, но, хотелось бы допускать пользователей снаружи сети только по ключу, без пароля (хотя бы для того, чтобы рестартануть апач).<br>Внешний ip заранее неизвестен, так что hosts.allow не подходит<br><br>Не представляю где копать... pam?<br>Помогите советом, пожалуйста<br> ssh: Установить PasswordAuthentication в зависимости от сети (ilway) https://www.opennet.ru/openforum/vsluhforumID10/4945.html#6 Mon, 03 Oct 2011 10:26:02 GMT [skipped]<br><br>&gt; почитайте еще вот это - http://serverfault.com/questions/286159/how-to-disabled-password-authentication-for-specific-users-in-sshd <br>&gt; Или еще проще, просто <br>&gt; [code] <br>&gt; Match user technik@192.168.0.* <br>&gt; PasswordAuthentication yes <br>&gt; [/code] <br><br>ОГРОМНЕЙШЕЕ ВАМ СПАСИБО! Это то, что надо!<br> ssh: Установить PasswordAuthentication в зависимости от сети (shadow_alone) https://www.opennet.ru/openforum/vsluhforumID10/4945.html#5 Fri, 30 Sep 2011 15:35:12 GMT В sshd_config есть директива Match<br>Почитайте, например тут - http://www.gossamer-threads.com/lists/openssh/dev/42757<br><br>Через эту директиву Вы можете разрешать/запрещать определенным юзерам варианты авторизации и не только.<br><br>А ограничение по IP сделайте общей директивой AllowUsers или AllowGrous с указанием IP - user@192.168.0.*<br><br>Используя в совокупности эти 2-е директивы, вы как раз, решите Вашу задачу.<br><br>[code]<br>Match group internalusers<br> PasswordAuthentication yes<br>[/code]<br>а глобально<br><br>[code]<br>AllowUsers admin technik@192.168.0.*<br>PasswordAuthentication no<br>[/code]<br><br>ну и technik должен быть в группе internalusers<br><br>почитайте еще вот это - http://serverfault.com/questions/286159/how-to-disabled-password-authentication-for-specific-users-in-sshd<br><br>Или еще проще, просто <br>[code]<br>Match user technik@192.168.0.*<br> PasswordAuthentication yes<br>[/code]<br> ssh: Установить PasswordAuthentication в зависимости от сети (ilway) https://www.opennet.ru/openforum/vsluhforumID10/4945.html#4 Fri, 30 Sep 2011 14:14:28 GMT &gt; Если у вас интерфейс один, тогда можно завесить демоны на разные порты <br>&gt; (например 22/23) а на NAT-сервере/устройстве сделать правило переброса (Internet IP, port <br>&gt; 22) -&gt; (Server sshd port 23).<br><br>Как таковой, проблемы в доведении до ssh того факта, что к нему стучатся из внешней сети нет (алиасы ethX:Y, vlan, port-map), теоретически было интересно управиться одним демоном, который бы определял разные границы аутентификации, о чем и вопрос был. Может, надо покопаться в pam (там я не силен) или есть какая-то группа опций для конкретной маски ip - это было бы интересно...<br>Спасибо за ответ!<br> ssh: Установить PasswordAuthentication в зависимости от сети (ilway) https://www.opennet.ru/openforum/vsluhforumID10/4945.html#3 Fri, 30 Sep 2011 14:05:31 GMT &gt; Как вариант, запустить два демона sshd. Один демон завесить на внутреннем интерфейсе <br>&gt; (авторизация по паролю). Второй демон sshd смотрит в интернет, и авторизация <br>&gt; на нем сугубо по ключу.<br>&gt; Плюсы данного решения в том, что вы можете контролировать пользователей интранета и <br>&gt; интернета отдельно на разных демонах sshd, изменяя их конфигурации по отдельности. <br>&gt; + можно настроить work time-ы через cron.<br><br>Спасибо за быстрый ответ. Тоже думал об этом, но как о последнем решении. Сервер стоит во внутренней сети, все пакеты пока приходят через один интерфейс, но не суть - можно добавить алиас или VLAN ,относящийся к DMZ.<br><br>Work time не подходит в моем случае - как правило ssh используется при авариях, чтобы помощник тот же апач перезапустил.<br> ssh: Установить PasswordAuthentication в зависимости от сети (Cristian) https://www.opennet.ru/openforum/vsluhforumID10/4945.html#2 Fri, 30 Sep 2011 14:05:07 GMT Если у вас интерфейс один, тогда можно завесить демоны на разные порты (например 22/23) а на NAT-сервере/устройстве сделать правило переброса (Internet IP, port 22) -&gt; (Server sshd port 23).<br> ssh: Установить PasswordAuthentication в зависимости от сети (Cristian) https://www.opennet.ru/openforum/vsluhforumID10/4945.html#1 Fri, 30 Sep 2011 13:57:11 GMT Как вариант, запустить два демона sshd. Один демон завесить на внутреннем интерфейсе (авторизация по паролю). Второй демон sshd смотрит в интернет, и авторизация на нем сугубо по ключу.<br><br>Плюсы данного решения в том, что вы можете контролировать пользователей интранета и интернета отдельно на разных демонах sshd, изменяя их конфигурации по отдельности. <br>+ можно настроить work time-ы через cron.<br><br>