OpenBSD Archive openbsd - Russian

OpenSSH для разных подсетей

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
9 messages Options
Artem Chekunov
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

OpenSSH для разных подсетей

Artem Chekunov
HI! All

У меня есть вопрос не столько по OpenBSD, сколько по OpenSSH.

может кто сможет подсказать

как можно настроить openssh-server так чтобы в разных подсетях работали разные конфиги, не запуская 2ой sshd

к примеру чтобы в локальной подсети работала парольная аутоинтефикация
а во внешку только по RSA ключу?
Илья Таскаев
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: OpenSSH для разных подсетей

Илья Таскаев
По моему все достаточно просто, нужно запустить демон sshd и в качестве параметра передать -f /path/to/config/file в котором указать все нужные параметры. Например ListenAddress, какой ip и port слушать и т.д. В манах все описано. 

21 мая 2012 г., 22:25 пользователь Artem Chekunov <[hidden email]> написал:
HI! All

У меня есть вопрос не столько по OpenBSD, сколько по OpenSSH.

может кто сможет подсказать

как можно настроить openssh-server так чтобы в разных подсетях работали разные конфиги, не запуская 2ой sshd

к примеру чтобы в локальной подсети работала парольная аутоинтефикация
а во внешку только по RSA ключу?
Pavel Shvagirev
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: OpenSSH для разных подсетей

Pavel Shvagirev

Артем не хочет запускать >1 демона, что как раз подразумевает этот
вариант. Имхо, Артем, это нереально...

21.05.2012 16:12, Илья Таскаев написал:
> По моему все достаточно просто, нужно запустить демон sshd и в
> качестве параметра передать -f /path/to/config/file в котором указать
> все нужные параметры. Например ListenAddress, какой ip и port слушать
> и т.д. В манах все описано.

--
Best regards,
Pavel Shvagirev
skype: pavel.shvagirev

unk-2
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: OpenSSH для разных подсетей

unk-2
In reply to this post by Artem Chekunov
21 мая 2012 г., 15:25 пользователь Artem Chekunov
<[hidden email]> написал:
> к примеру чтобы в локальной подсети работала парольная аутоинтефикация
> а во внешку только по RSA ключу?
По идее Match LocalAddress решит вопрос.
Artem Chekunov
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: OpenSSH для разных подсетей

Artem Chekunov
о благодалю
действительно Match меня выручил
правда он действует только на OpenSSH последних версий
так что прийдётся обновлять весь зоопарк
а у меня их ни как не меньше дюжины дюжин

для нужного эффекта я добавил в конец конфига
теперь по ключу аутентификация работает для всех, а по паролю только из локальной сети.



PasswordAuthentication no

Match Host 192.168.0.*
        PasswordAuthentication yes
 
спасибо

2012/5/22 unk <[hidden email]>
21 мая 2012 г., 15:25 пользователь Artem Chekunov
<[hidden email]> написал:
> к примеру чтобы в локальной подсети работала парольная аутоинтефикация
> а во внешку только по RSA ключу?
По идее Match LocalAddress решит вопрос.



--
Best Regards
Artem Chekunov

Web: http://about.me/achekunov
Email: [hidden email]
Cell phone: +7 962 051 0661
Skype: scorpius_new
Jabber: [hidden email]
unk-2
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: OpenSSH для разных подсетей

unk-2
22 мая 2012 г., 9:26 пользователь Artem Chekunov
<[hidden email]> написал:
> о благодалю
> действительно Match меня выручил
> правда он действует только на OpenSSH последних версий
Если Вы именно про match localaddress, то да, фича относительно свежая.
А сам match появился в 4.0 т.е. около 3х лет.
Artem Chekunov
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: OpenSSH для разных подсетей

Artem Chekunov
мне просто по наследству досталось куча серверов на rhel 5.5 в коих подобная фича по просту отстствует

2012/5/22 unk <[hidden email]>
22 мая 2012 г., 9:26 пользователь Artem Chekunov
<[hidden email]> написал:
> о благодалю
> действительно Match меня выручил
> правда он действует только на OpenSSH последних версий
Если Вы именно про match localaddress, то да, фича относительно свежая.
А сам match появился в 4.0 т.е. около 3х лет.



--
Best Regards
Artem Chekunov

Web: http://about.me/achekunov
Email: [hidden email]
Cell phone: +7 962 051 0661
Skype: scorpius_new
Jabber: [hidden email]
Илья Таскаев
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: OpenSSH для разных подсетей

Илья Таскаев
В чем суть этого Match? Как он работает?

22 мая 2012 г., 17:26 пользователь Artem Chekunov <[hidden email]> написал:
мне просто по наследству досталось куча серверов на rhel 5.5 в коих подобная фича по просту отстствует


2012/5/22 unk <[hidden email]>
22 мая 2012 г., 9:26 пользователь Artem Chekunov
<[hidden email]> написал:
> о благодалю
> действительно Match меня выручил
> правда он действует только на OpenSSH последних версий
Если Вы именно про match localaddress, то да, фича относительно свежая.
А сам match появился в 4.0 т.е. около 3х лет.



--
Best Regards
Artem Chekunov

Web: http://about.me/achekunov
Email: [hidden email]
Cell phone: +7 962 051 0661
Skype: scorpius_new
Jabber: [hidden email]
Artem Chekunov
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: OpenSSH для разных подсетей

Artem Chekunov
С её помощью можно изменять настройки для User, Group, Host, and Address.

с её помощью можно сделать так
For 
   example:
PasswordAuthentication no

 Match address 192.0.2.0/24,3ffe:ffff::/32,!10.*
         PasswordAuthentication yes


то есть в конф файле по умолчанию запрещено по умолчанию доступ по паролю, 
то есть можно аутоинтефицироваться  только через паблик ключ(rsa/dsa)



а для address 192.0.2.0/24,3ffe:ffff::/32,!10.*  можно использовать парольный доступ к примеру в случае LDAP аутоинтефикации.
С ним можно использовать опции AllowAgentForwarding, AllowTcpForwarding, Banner, ChrootDirectory, ForceCommand, GatewayPorts, GSSAPIAuthentication, HostbasedAuthentication, KbdInteractiveAuthentication, KerberosAuthentication, MaxAuthTries, MaxSessions, PasswordAuthentication, PermitEmptyPasswords, PermitOpen, PermitRootLogin, PubkeyAuthentication, RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset, X11Forwarding and X11UseLocalHost.

Его лучше располагать в конце файла, иначе он может воспринять все последующие опции как свои аргументы

2012/5/22 Илья Таскаев <[hidden email]>
В чем суть этого Match? Как он работает?

22 мая 2012 г., 17:26 пользователь Artem Chekunov <[hidden email]> написал:

мне просто по наследству досталось куча серверов на rhel 5.5 в коих подобная фича по просту отстствует


2012/5/22 unk <[hidden email]>
22 мая 2012 г., 9:26 пользователь Artem Chekunov
<[hidden email]> написал:
> о благодалю
> действительно Match меня выручил
> правда он действует только на OpenSSH последних версий
Если Вы именно про match localaddress, то да, фича относительно свежая.
А сам match появился в 4.0 т.е. около 3х лет.



--
Best Regards
Artem Chekunov

Web: http://about.me/achekunov
Email: [hidden email]
Cell phone: <a href="tel:%2B7%20962%20051%200661" value="+79620510661" target="_blank">+7 962 051 0661
Skype: scorpius_new
Jabber: [hidden email]





--
Best Regards
Artem Chekunov

Web: http://about.me/achekunov
Email: [hidden email]
Cell phone: +7 962 051 0661
Skype: scorpius_new
Jabber: [hidden email]
Loading...
Free forum by Nabble Edit this page