PAM ssh login => Radius

R

Reen_sc

Jungspund
Hallo Leute,

hat jemand ne Ahnung wie ich den ssh-Login so ändern kann, dass man den lokalen Login (über einen Notfall-User) solange verhindern kann, wie Radius erreichbar ist?

Aktuell kann sich der Notfall-User immer anmelden auch wenn Radius verfügbar ist :-(


Danke
 
Schuss ins Blaue: Du koenntest ein Skript schreiben, dass ueberprueft ob radius verfuegbar ist (ich weiss nicht, was Radius ist und kann deswegen ueber diesen Pruef-Mechanismus nichts aussagen). Wenn das nicht der Fall ist, schiesst es sshd ab und startet sshd neu mit einer Konfigurationsdatei (sshd -f ...), die es nun dem Notfall-User erlaubt, sich anzumelden.
Der Notfall-User kann dann vor dem Abmelden wieder den Standard-sshd starten, der es ihm verbietet, sich anzumelden, sobald Radius wieder laeuft (meiner Erfahrung nach werden bestehende Verbindungen nicht gekappt, wenn sshd neu gestartet wird).
Weswegen moechtest Du das erreichen?
 
Ich frag mich natürlich auch wie du wissen willst, ob der raidus server läuft, ein ping wird vermutlich nicht reichen, es kann der Pc trotzdem laufen und dein radiusd ist abgestürzt.

Sobald du weißt, dass der radiusd verreckt ist kannst du mit iptables, oder der sshd_config was machen, aber die Erkennung wird schwer.
 
Vorab: Ich kenne mich mit Radius nicht aus!

Aber kannst du auf dem Radius Server nicht abfragen, ob der Prozess läuft?
Evtl. Cronjob o.Ä. und das Ergebnis per FTP/HTTP zur Verfügung stellen?

Oder eine Testverbindung (?) aufbauen und überprüfen, was dabei rauskommt?


Und wenn eines der Testfälle zutrifft, eben die sshd_config oder iptables (wie marcellus gesagt hat) anpassen...
 
Hallo,

danke für die Antworten. Das mit einem Skript abzufackeln daran habe ich auch schon gedacht....muss ich mal sehen was man da machen lässt.

Die Verfügbarkeit von Radius wird mM nach nicht kontinuierlich überprüft, sondern nur bei Anmeldung eines Users.


"Weswegen moechtest Du das erreichen?"
Ich möchte damit erreichen, dass jeder User eindeutig identifizierbar ist und keine Commandos über den anonymen Notfall-User ausführt ;-)
 
Reen_sc schrieb:
Ich möchte damit erreichen, dass jeder User eindeutig identifizierbar ist und keine Commandos über den anonymen Notfall-User ausführt ;-)
Zum Vergrößern anklicken....
Warum gibst Du Dich fuer letzteres nicht damit zufrieden, dem Notfall-Nutzer ein sicheres Passwort zu geben? Das Programm 'pwgen' ist da sehr nuetzlich.
 
Anmelden, um zu antworten.

Ähnliche Themen

NAS-Drive Mount in Bash-Script über crontab
NAS-Drive Mount in Bash-Script über crontab: Hallo liebe Leute, ich versuche seit Wochen ein rsync Bash-Script für die Sicherung eines Raspberry Pi's zum Laufen zu bringen und scheitere immer wieder...

3 Wege zur Authentifizierung?
3 Wege zur Authentifizierung?: Hallo Leute, ich möchte auf manchen Servern gern mit 3 Methoden authentifizieren können: 1x Active Directory zu einem Win2008 server per AD accounts...

Authentifizieren/Authorisieren mit LinOTP/AD
Authentifizieren/Authorisieren mit LinOTP/AD: Hi, ich komme momentan einfach nicht weiter. Wir betreiben ein LinOTP-Server um uns wg. VPN zu Authentifizieren und einen AD-Server um uns in der Domäne...

iptables Konfigurationsdatei
iptables Konfigurationsdatei: Hallo zusammen Leider ist das Forum unter https://forum.openwrt.org/ gerade geschlossen ("The OpenWrt forum is currently offline..."), deshalb frage ich...

SSH Login nur mit einer bestimmten IP die in einer Textdatei gespeichert wird
SSH Login nur mit einer bestimmten IP die in einer Textdatei gespeichert wird: Hallo Ich bin andauernd Opfer einer Brute Force Attacke. Die IPs die fehlerhafte Logins produzieren werden nach dem 3ten Versuch gesperrt. Aber das Problem...

Neueste Themen

Zurück
Oben