SSH Nur für diesen einen Host

Dieses Thema im Forum "Debian/Ubuntu/Knoppix" wurde erstellt von 4nD3r5, 12.01.2007.

  1. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    Hallo,
    wollte mal nachfragen ob ich die SSH Verbindung vollständig blocken kann außer für die IP Adresse xyz die hinter der URL abc steht? Heißt das ich bei Putty z.B. einen Network Error "Connection Refused" bekäme, auch wenn der Port und alles richtig wäre, meine IP aber nicht mit der IP welche hinter der freigegebenen Domain steht übereinstimmt.

    Geht das? Und wenn ja wie? habs mit hosts.allow und hosts.deny ausprobiert... nur irnwie tut sich da gar nichts... selbst wenn ich in die hosts.deny ALL : ALL reinschreibe und die .allow leer lasse und dann reboote komme ich sogar noch per SSH druf. (und alles andere geht auch obwohl das doch eigtl. gar ned gehen sollte?!?!?)

    Gruß Dominik
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 kbdcalls, 12.01.2007
    kbdcalls

    kbdcalls Master of Universe

    Dabei seit:
    16.10.2006
    Beiträge:
    518
    Zustimmungen:
    0
    Sperre den Login per Passwort, so das du nur mit nem Key reinkommst.
     
  4. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Alternativ einfach per iptables den SSH-Port (Default: 22) nur für diese IP freigeben.
     
  5. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    ähm... hat da evtl. jemand den Befehl für mich oder kann mir sagen wie ich das in irgendeine Datei reinschreiben soll? hab mit IPTables noch ned gearbeitet... wäre nett
     
  6. #5 sobo, 13.01.2007
    Zuletzt bearbeitet: 13.01.2007
    sobo

    sobo Atomkopf

    Dabei seit:
    20.12.2002
    Beiträge:
    37
    Zustimmungen:
    0
  7. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Code:
    # erstmal sicherstellen, dass man nicht rausgeworfen wird
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -p tcp --dport 22 -j ACCEPT
    # setze Default-Policy fuer diesen Port auf DROP
    iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j DROP
    # erlaube Verbindungen von <deine-ip>
    iptables -A INPUT -m state --state NEW -p tcp -s <deine-ip> --dport 22 -j ACCEPT
    
    So aus dem Kopf müsste es das sein. Wenn es nicht funktioniert, schau halt in die Manpage von iptables 'man iptables'. Hab jetzt nicht wirklich Lust mich durch die Manpage zu wuseln, nur weil du zu faul bist, bin ich nämlich auch. ;)
    Wichtig: iptables muss als root ausgeführt werden.
     
  8. #7 StyleWarZ, 13.01.2007
    StyleWarZ

    StyleWarZ Profi Daten Verschieber

    Dabei seit:
    05.03.2004
    Beiträge:
    1.929
    Zustimmungen:
    0
    #ListenAddress 0.0.0.0 wäre doch die Lösung direkt durch die ssh config..

    /etc/ssh/sshd_config < -- config Datei
     
  9. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Damit bindet er den SSH-Server ja nur an eine spezifische IP des Servers, sofern dieser mehrere IPs hat. Das ermöglicht nicht, dass er nur von einer spezifischen IP aus auf den Server via SSH Zugriff bekommt. Der Server "lauscht" dann halt nur an dem Interface mit dieser IP.
     
  10. #9 kbdcalls, 13.01.2007
    kbdcalls

    kbdcalls Master of Universe

    Dabei seit:
    16.10.2006
    Beiträge:
    518
    Zustimmungen:
    0
    Die Hostbased Authentication ist ja auch Standardmäßig abgeschaltet
    Code:
     38 HostbasedAuthentication no
     39 # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
     40 #IgnoreUserKnownHosts yes
    
    Ist auch nicht so das gelbe vom Ei. Hostnamen lassen sich ja nach belieben vergeben.
     
  11. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    Was nun?
     
  12. #11 pitschi5, 13.01.2007
    pitschi5

    pitschi5 ***BOFH

    Dabei seit:
    30.04.2005
    Beiträge:
    81
    Zustimmungen:
    0
    Ort:
    Wasserliesch, Germany
    hi

    oder du trägst es in der

    /etc/hosts.allow ein, welche IP´s Zugriff haben

    so long...
     
  13. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    Wie bereits gesagt ... keine Ahnung wieso dem so ist aber es geht trotzdem
     
  14. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Kann es sein, dass es sich hier um einen Server von 1und1 handelt? ;) Da hatte ich nämlich auch schonmal genau das gleiche Problem. Hab den genau deswegen sofort gekündigt. Brauchte einen kommerziellen Treiber die Kiste und den wollten sie mir nicht geben, im WWW war er nirgends zu finden.

    Du hast jetzt definitiv ein Problem, nämlich einen Server ohne iptables-Unterstützung im Kernel. Da hilft nur eines: neuen Kernel bauen.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    nein habe einen Server von NGZ... das mit dem Kernel bauen hat mir heute schonmal jemand gesagt *g aber wie soll jemand der da nicht all zu viel ahnung von hat das machen? wieso gehen die hosts.allow und hosts.deny Dateien eigtl. nicht? gibt es dafür auch irgendwo einen "Schalter"?
    gibt es noch eine andere Firewall die gut ist und die ich mir installieren kann?
     
  17. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Der SSH-Server nutzt diese hosts_access-Funktionen nicht. Diese werden primär vom Portmapper und von (x)inetd verwendet.
    Und nein, es gibt keine bessere Firewall als iptables, da nur diese direkt in den Kernel integriert ist, wodurch sie nicht einfach wie eine Applikationsfirewall von einem Angreifer ausgeschaltet werden kann. Allerdings stellt sich mir die Frage, warum du dir anmaßt einen Server zu verwalten, wenn du selbst von dir sagst, dass du nicht allzuviel Ahnung hast. Server sind kein Spielzeug und wenn die Kiste aufgrund deiner mangelnden Kenntnisse mal gehackt wird, kann das ziemlich teuer für dich werden, wenn z.B. der Angreifer den Server zum Spammen oder Warez verteilen missbraucht. Leg dir also schon 7000-8000 Euro auf die hohe Kante, damit du dich nicht in Schulden stürzt, wenn das mal eintritt. Kernel bauen sollte für den Admin eines Servers Routine sein.
     
Thema:

SSH Nur für diesen einen Host

Die Seite wird geladen...

SSH Nur für diesen einen Host - Ähnliche Themen

  1. SAMBA für Windows10 Domäne einrichten

    SAMBA für Windows10 Domäne einrichten: Hallo, ich habe letztes Wochenende verzweifelt versucht, Samba auf meinem Server einzurichten, daher versuche ich aktuell meinen Fehler zu...
  2. Empfehlung für Server Distribution

    Empfehlung für Server Distribution: Hallo, ich habe hier zu Hause einen kleinen Heimserver, auf welchem ich ein paar Daten für den Zugriff im Haus, einen kleinen Web Service für...
  3. Kleinigkeiten für Euch, mich nicht :-) pkg_add ; DVD rw mounten

    Kleinigkeiten für Euch, mich nicht :-) pkg_add ; DVD rw mounten: Hallo, ich habe 2 Problemchen. Ich kann nichts mehr installieren. Ich brauche aber unbedingt ein Brenn-Programm. Ein schönen Partitionierer usw....
  4. Welche Distri für Programming from the Ground Up

    Welche Distri für Programming from the Ground Up: Hallo! Ich möchter gerne das Buch Programming from the Ground Up durcharbeiten. savannah_nongnu_org/projects/pgubook/ Da geht es um Programmieren...
  5. Zeichen an Zeilenanfang für bestimmten Zeilenbereich einfügen

    Zeichen an Zeilenanfang für bestimmten Zeilenbereich einfügen: Hallo, ich würde gerne in einem Textdokument, z.B. von Zeile 10 - 18, an den Zeilenanfang ein # einfügen. Habe mir schon diverse Seiten zu SED...