SSH Zeit einschränken

Dieses Thema im Forum "Security Talk" wurde erstellt von Samhain, 27.02.2008.

  1. #1 Samhain, 27.02.2008
    Samhain

    Samhain Grünschnabel

    Dabei seit:
    27.02.2008
    Beiträge:
    3
    Zustimmungen:
    0
    Wie kann man SSH so einschrenken das ein gewisser User nur um eine bestimmte Uhrzeit (z.B. 12:00 - 15:00) SSH benutzen darf/kann?

    Hab leider noch nichts hilfreiches gefunden.
    Danke im Vorraus. :winke:
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 serverzeit.de, 27.02.2008
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Alle Benutzer oder nur ein spezieller?
     
  4. #3 Samhain, 27.02.2008
    Samhain

    Samhain Grünschnabel

    Dabei seit:
    27.02.2008
    Beiträge:
    3
    Zustimmungen:
    0
    Beides ;)
     
  5. #4 serverzeit.de, 27.02.2008
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Das ist nicht so einfach.

    Annahme: Du hast Benutzer B1, B2 und B3 und die sollen alle gleichzeitig ab 6 Uhr morgens gesperrt werden, dann kannst du einen Cronjob erstellen, der eine zweite SSH-Konfiguration (sshd_config) in das entsprechende Verzeichnis kopiert und den SSHD neustartet:

    DenyUsers B1,B2,B3... muss dann in der "Sperr-Konfiguration" stehen. Eine dynamische Möglichkeit fällt mir nicht ein, denn selbst per Firewall wirst du die User nicht abfragen können nehme ich an (außer jeder Benutzer hat ne feste IP von der er sich anmeldet).

    Beachte aber: Wenn bestehende Verbindungen werden nicht getrennt. Wenn B1 also ab 6 Uhr nicht mehr per SSH Zugriff haben soll, aber zu diesem Zeitpunkt noch eine Verbindung besteht, dann bleibt sie bestehen bis er sie trennt (oder du killst sie mit einem entsprechenden Befehl, was aber sehr ärgerlich sein kann).

    Andere Lösungsvorschläge sind denkbar, aber so auf die Schnelle wäre das mein erster Hinweis.
     
  6. #5 Samhain, 27.02.2008
    Samhain

    Samhain Grünschnabel

    Dabei seit:
    27.02.2008
    Beiträge:
    3
    Zustimmungen:
    0
    Puh, klingt ziemlich komplex das ganze oO
    Gibts keine einfachere Lösung?
     
  7. #6 serverzeit.de, 27.02.2008
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Naja, es hört sich aber auch nur komplex an. Eine elegantere Lösung wirst du nur schwer finden, da dieses Problem wohl eher selten ist.

    Schreib doch einfach ein Skript was ungetestet prinzipiell so aussehen könnte:
    Code:
    #!/bin/sh
    echo "Starte SSHD mit eingeschränkter Konfiguration..."
    if [ -f /var/run/sshd.pid ]
    then
       /usr/sbin/sshd stop
       /usr/sbin/sshd -f /etc/sshd/sshd_config_locked start
    fi
    
    Die Pfade musst du natürlich anpassen. Je nach System ist es auch ratsam, die Startskripte statt einer direkten Verlinkung zu verwenden. Dann ist nur fraglich, ob diese Parameter (-f /etc...) entgegennehmen und verarbeiten. Das musst du ausprobieren.

    Dieses Skript kannst du dann in einen Cronjob stecken und gut. Wenn du dann willst, dass der SSH-Zugang wieder frei ist, änderst du die Zeilen so ab, dass der SSHD gestoppt wird und mit der Standardkonfiguration wieder gestartet wird.

    Prinzipiell also gaaanz einfach :-)
     
  8. #7 g0dzilla, 27.02.2008
    g0dzilla

    g0dzilla trust your technolust

    Dabei seit:
    06.10.2003
    Beiträge:
    22
    Zustimmungen:
    0
    Hi,

    pam_time tut was Du willst und ist m.E. "eleganter". ;)

    Code:
    man pam_time
    .
     
  9. #8 serverzeit.de, 27.02.2008
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    pam_time...interessant. Wieder was gelernt, was ich wohl nie brauchen werde :D

    Aber danke für den eleganten Tipp. Ich wusste, dass es was geben könnte... ;)
     
  10. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Alternativ lässt sich auch im /etc/profile etwas implementieren, dass die Benutzer rauswirft! Finde ich schöner, als mit SSH Konfigurationen rumzuspielen. PAM ist natürlich die allerschönste Lösung :)
     
  11. #10 g0dzilla, 28.02.2008
    g0dzilla

    g0dzilla trust your technolust

    Dabei seit:
    06.10.2003
    Beiträge:
    22
    Zustimmungen:
    0
    Wenn man IT-Infrastrukturen nach BSI-Grundschutz auditiert, ist das keine ganz unwichtige Maßnahme. Da gibt es für Clients unter Unix M 4.16 Zugangsbeschränkungen für Accounts und / oder Terminals :oldman
    (Link)

    Ist dann immer gut, wenn man dem Kunden sagen kann _wie_ er sowas umsetzen kann.:brav:

    Kann man wissen, muss man wohl nicht...;)

    .

    Edith sagt: @tronix röschtösch
     
  12. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  13. #11 nice2kn0w, 01.03.2008
    nice2kn0w

    nice2kn0w Mitglied

    Dabei seit:
    09.05.2007
    Beiträge:
    39
    Zustimmungen:
    0
    Der owner match sowie timestart und timestop von iptables wäre für die Firewallregel Lösung eine Möglichkeit
     
  14. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Wunderbare Vorgehensweise um einen Denial of Service zu provozieren nice2kn0w. Was machst du, wenn die User von der selben Maschine kommen, einige dürfen einloggen, andere nicht?
     
Thema:

SSH Zeit einschränken

Die Seite wird geladen...

SSH Zeit einschränken - Ähnliche Themen

  1. Online Zeit auf 2 Stunden pro Tag einschränken

    Online Zeit auf 2 Stunden pro Tag einschränken: Hallo Leute, Ich google schon seit 3 Stunden rum und finde irgend wie nichts, dass mir weiterhilft. Mein Problem: Ich möchte die Zeit in...
  2. IT-Systemadministrator/in in Teilzeit oder freiberuflich

    IT-Systemadministrator/in in Teilzeit oder freiberuflich: Wir suchen ab sofort in Teilzeit (20 Std./Woche) oder freiberuflich eine/n IT-Systemadministrator/in. Ihr Aufgabengebiet: Administration,...
  3. LXC 2.0 mit Langzeitunterstützung veröffentlicht

    LXC 2.0 mit Langzeitunterstützung veröffentlicht: LXC 2.0 ist die zweite Veröffentlichung der von Stéphane Graber bei Canonical gepflegten Linux-Container-Software, die Langzeitunterstützung für...
  4. Systemadministrator/ in als Teilzeitstelle

    Systemadministrator/ in als Teilzeitstelle: Systemadministrator/ in als Teilzeitstelle Die DiOmega GmbH ist eine Agentur mit Sitz in Frankfurt am Main, die sich auf IT- und...
  5. Senior PHP Developer in Vollzeit (m/w)

    Senior PHP Developer in Vollzeit (m/w): Senior PHP Developer in Vollzeit (m/w) Die DiOmega GmbH ist eine Agentur mit Sitz in Frankfurt am Main, die sich auf IT- und Web-Dienstleistungen...