SSH Nur für diesen einen Host

Diskutiere SSH Nur für diesen einen Host im Debian/Ubuntu/Knoppix Forum im Bereich Linux Distributionen; Hallo, wollte mal nachfragen ob ich die SSH Verbindung vollständig blocken kann außer für die IP Adresse xyz die hinter der URL abc steht? Heißt...

  1. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    Hallo,
    wollte mal nachfragen ob ich die SSH Verbindung vollständig blocken kann außer für die IP Adresse xyz die hinter der URL abc steht? Heißt das ich bei Putty z.B. einen Network Error "Connection Refused" bekäme, auch wenn der Port und alles richtig wäre, meine IP aber nicht mit der IP welche hinter der freigegebenen Domain steht übereinstimmt.

    Geht das? Und wenn ja wie? habs mit hosts.allow und hosts.deny ausprobiert... nur irnwie tut sich da gar nichts... selbst wenn ich in die hosts.deny ALL : ALL reinschreibe und die .allow leer lasse und dann reboote komme ich sogar noch per SSH druf. (und alles andere geht auch obwohl das doch eigtl. gar ned gehen sollte?!?!?)

    Gruß Dominik
     
  2. #2 kbdcalls, 12.01.2007
    kbdcalls

    kbdcalls Master of Universe

    Dabei seit:
    16.10.2006
    Beiträge:
    518
    Zustimmungen:
    0
    Sperre den Login per Passwort, so das du nur mit nem Key reinkommst.
     
  3. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Alternativ einfach per iptables den SSH-Port (Default: 22) nur für diese IP freigeben.
     
  4. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    ähm... hat da evtl. jemand den Befehl für mich oder kann mir sagen wie ich das in irgendeine Datei reinschreiben soll? hab mit IPTables noch ned gearbeitet... wäre nett
     
  5. #5 sobo, 13.01.2007
    Zuletzt bearbeitet: 13.01.2007
    sobo

    sobo Atomkopf

    Dabei seit:
    20.12.2002
    Beiträge:
    37
    Zustimmungen:
    0
  6. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Code:
    # erstmal sicherstellen, dass man nicht rausgeworfen wird
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -p tcp --dport 22 -j ACCEPT
    # setze Default-Policy fuer diesen Port auf DROP
    iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j DROP
    # erlaube Verbindungen von <deine-ip>
    iptables -A INPUT -m state --state NEW -p tcp -s <deine-ip> --dport 22 -j ACCEPT
    
    So aus dem Kopf müsste es das sein. Wenn es nicht funktioniert, schau halt in die Manpage von iptables 'man iptables'. Hab jetzt nicht wirklich Lust mich durch die Manpage zu wuseln, nur weil du zu faul bist, bin ich nämlich auch. ;)
    Wichtig: iptables muss als root ausgeführt werden.
     
  7. #7 StyleWarZ, 13.01.2007
    StyleWarZ

    StyleWarZ Profi Daten Verschieber

    Dabei seit:
    05.03.2004
    Beiträge:
    1.929
    Zustimmungen:
    0
    #ListenAddress 0.0.0.0 wäre doch die Lösung direkt durch die ssh config..

    /etc/ssh/sshd_config < -- config Datei
     
  8. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Damit bindet er den SSH-Server ja nur an eine spezifische IP des Servers, sofern dieser mehrere IPs hat. Das ermöglicht nicht, dass er nur von einer spezifischen IP aus auf den Server via SSH Zugriff bekommt. Der Server "lauscht" dann halt nur an dem Interface mit dieser IP.
     
  9. #9 kbdcalls, 13.01.2007
    kbdcalls

    kbdcalls Master of Universe

    Dabei seit:
    16.10.2006
    Beiträge:
    518
    Zustimmungen:
    0
    Die Hostbased Authentication ist ja auch Standardmäßig abgeschaltet
    Code:
     38 HostbasedAuthentication no
     39 # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
     40 #IgnoreUserKnownHosts yes
    
    Ist auch nicht so das gelbe vom Ei. Hostnamen lassen sich ja nach belieben vergeben.
     
  10. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    Was nun?
     
  11. #11 pitschi5, 13.01.2007
    pitschi5

    pitschi5 ***BOFH

    Dabei seit:
    30.04.2005
    Beiträge:
    81
    Zustimmungen:
    0
    Ort:
    Wasserliesch, Germany
    hi

    oder du trägst es in der

    /etc/hosts.allow ein, welche IP´s Zugriff haben

    so long...
     
  12. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    Wie bereits gesagt ... keine Ahnung wieso dem so ist aber es geht trotzdem
     
  13. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Kann es sein, dass es sich hier um einen Server von 1und1 handelt? ;) Da hatte ich nämlich auch schonmal genau das gleiche Problem. Hab den genau deswegen sofort gekündigt. Brauchte einen kommerziellen Treiber die Kiste und den wollten sie mir nicht geben, im WWW war er nirgends zu finden.

    Du hast jetzt definitiv ein Problem, nämlich einen Server ohne iptables-Unterstützung im Kernel. Da hilft nur eines: neuen Kernel bauen.
     
  14. 4nD3r5

    4nD3r5 Mitglied

    Dabei seit:
    04.01.2007
    Beiträge:
    28
    Zustimmungen:
    0
    nein habe einen Server von NGZ... das mit dem Kernel bauen hat mir heute schonmal jemand gesagt *g aber wie soll jemand der da nicht all zu viel ahnung von hat das machen? wieso gehen die hosts.allow und hosts.deny Dateien eigtl. nicht? gibt es dafür auch irgendwo einen "Schalter"?
    gibt es noch eine andere Firewall die gut ist und die ich mir installieren kann?
     
  15. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Der SSH-Server nutzt diese hosts_access-Funktionen nicht. Diese werden primär vom Portmapper und von (x)inetd verwendet.
    Und nein, es gibt keine bessere Firewall als iptables, da nur diese direkt in den Kernel integriert ist, wodurch sie nicht einfach wie eine Applikationsfirewall von einem Angreifer ausgeschaltet werden kann. Allerdings stellt sich mir die Frage, warum du dir anmaßt einen Server zu verwalten, wenn du selbst von dir sagst, dass du nicht allzuviel Ahnung hast. Server sind kein Spielzeug und wenn die Kiste aufgrund deiner mangelnden Kenntnisse mal gehackt wird, kann das ziemlich teuer für dich werden, wenn z.B. der Angreifer den Server zum Spammen oder Warez verteilen missbraucht. Leg dir also schon 7000-8000 Euro auf die hohe Kante, damit du dich nicht in Schulden stürzt, wenn das mal eintritt. Kernel bauen sollte für den Admin eines Servers Routine sein.
     
Thema:

SSH Nur für diesen einen Host

Die Seite wird geladen...

SSH Nur für diesen einen Host - Ähnliche Themen

  1. Daten für eine Homepage optimieren und verarbeiten?!

    Daten für eine Homepage optimieren und verarbeiten?!: Hi Ihr wisst ja sicher es gibt viele offene Daten die von der Regierung kostenlos zur Verfügung gestellt werden darunter auch "echt zeit daten"....
  2. [gelöst] - for file in ... nur für bestimmte Endungen?

    [gelöst] - for file in ... nur für bestimmte Endungen?: Hallo Zusammen Ich habe einen eigenen Server und das Ziel mittels einem Shell-Skript ein Verzeichnis auf neue Dateien zu überprüfen. Das Skript...
  3. Erweiterbarer Wrapper für GNU find

    Erweiterbarer Wrapper für GNU find: Hallo zusammen, Da ich hier noch einen Account habe, wollte ich mal dieses Forum nutzen, um ganz dreist ein wenig Eigenwerbung zu machen :) Ich...
  4. Suche erweiterbare Audio-APP für 768kHz

    Suche erweiterbare Audio-APP für 768kHz: Kennt jemand eine OS audio APP für den PC, welche höhere Bitraten unterstützt, bzw. die man entsprechend erweitern könnte? Auf dem WIN-Markt habe...
  5. USB-audio host für tablets für VST

    USB-audio host für tablets für VST: Ich suche eine einfache Möglichkeit, Echtzeit-Hardware im Audiobereich mit Daten über die USB-Schnittstelle anzufahren und zu steuern. Es geht...