|
|
|
|
HI! All
У меня есть вопрос не столько по OpenBSD, сколько по OpenSSH.
может кто сможет подсказать
как можно настроить openssh-server так чтобы в разных подсетях работали разные конфиги, не запуская 2ой sshd
к примеру чтобы в локальной подсети работала парольная аутоинтефикация
а во внешку только по RSA ключу?
|
|
|
По моему все достаточно просто, нужно запустить демон sshd и в качестве параметра передать -f /path/to/config/file в котором указать все нужные параметры. Например ListenAddress, какой ip и port слушать и т.д. В манах все описано.
21 мая 2012 г., 22:25 пользователь Artem Chekunov <[hidden email]> написал:
HI! All
У меня есть вопрос не столько по OpenBSD, сколько по OpenSSH.
может кто сможет подсказать
как можно настроить openssh-server так чтобы в разных подсетях работали разные конфиги, не запуская 2ой sshd
к примеру чтобы в локальной подсети работала парольная аутоинтефикация
а во внешку только по RSA ключу?
|
|
|
Артем не хочет запускать >1 демона, что как раз подразумевает этот
вариант. Имхо, Артем, это нереально...
21.05.2012 16:12, Илья Таскаев написал:
> По моему все достаточно просто, нужно запустить демон sshd и в
> качестве параметра передать -f /path/to/config/file в котором указать
> все нужные параметры. Например ListenAddress, какой ip и port слушать
> и т.д. В манах все описано.
--
Best regards,
Pavel Shvagirev
skype: pavel.shvagirev
|
|
|
21 мая 2012 г., 15:25 пользователь Artem Chekunov
< [hidden email]> написал:
> к примеру чтобы в локальной подсети работала парольная аутоинтефикация
> а во внешку только по RSA ключу?
По идее Match LocalAddress решит вопрос.
|
|
|
о благодалю действительно Match меня выручил правда он действует только на OpenSSH последних версий так что прийдётся обновлять весь зоопарк а у меня их ни как не меньше дюжины дюжин для нужного эффекта я добавил в конец конфига
теперь по ключу аутентификация работает для всех, а по паролю только из локальной сети. PasswordAuthentication no Match Host 192.168.0.* PasswordAuthentication yes спасибо
2012/5/22 unk <[hidden email]>
21 мая 2012 г., 15:25 пользователь Artem Chekunov
<[hidden email]> написал:
> к примеру чтобы в локальной подсети работала парольная аутоинтефикация
> а во внешку только по RSA ключу?
По идее Match LocalAddress решит вопрос.
-- Best Regards Artem Chekunov Web: http://about.me/achekunovEmail: [hidden email]
Cell phone: +7 962 051 0661 Skype: scorpius_new Jabber: [hidden email]
|
|
|
22 мая 2012 г., 9:26 пользователь Artem Chekunov
< [hidden email]> написал:
> о благодалю
> действительно Match меня выручил
> правда он действует только на OpenSSH последних версий
Если Вы именно про match localaddress, то да, фича относительно свежая.
А сам match появился в 4.0 т.е. около 3х лет.
|
|
|
мне просто по наследству досталось куча серверов на rhel 5.5 в коих подобная фича по просту отстствует 2012/5/22 unk <[hidden email]>
22 мая 2012 г., 9:26 пользователь Artem Chekunov
<[hidden email]> написал:
> о благодалю
> действительно Match меня выручил
> правда он действует только на OpenSSH последних версий
Если Вы именно про match localaddress, то да, фича относительно свежая.
А сам match появился в 4.0 т.е. около 3х лет.
-- Best Regards Artem Chekunov Web: http://about.me/achekunovEmail: [hidden email]
Cell phone: +7 962 051 0661 Skype: scorpius_new Jabber: [hidden email]
|
|
|
В чем суть этого Match? Как он работает? 22 мая 2012 г., 17:26 пользователь Artem Chekunov <[hidden email]> написал:
мне просто по наследству досталось куча серверов на rhel 5.5 в коих подобная фича по просту отстствует
2012/5/22 unk <[hidden email]>
22 мая 2012 г., 9:26 пользователь Artem Chekunov
<[hidden email]> написал:
> о благодалю
> действительно Match меня выручил
> правда он действует только на OpenSSH последних версий
Если Вы именно про match localaddress, то да, фича относительно свежая.
А сам match появился в 4.0 т.е. около 3х лет.
|
|
|
С её помощью можно изменять настройки для User, Group, Host, and Address. с её помощью можно сделать так For
example:
PasswordAuthentication no
Match address 192.0.2.0/24,3ffe:ffff::/32,!10.*
PasswordAuthentication yes
то есть в конф файле по умолчанию запрещено по умолчанию доступ по паролю,
то есть можно аутоинтефицироваться только через паблик ключ(rsa/dsa)
а для address 192.0.2.0/24,3ffe:ffff::/32,!10.* можно использовать парольный доступ к примеру в случае LDAP аутоинтефикации.
С ним можно использовать опции AllowAgentForwarding, AllowTcpForwarding, Banner, ChrootDirectory, ForceCommand, GatewayPorts, GSSAPIAuthentication, HostbasedAuthentication, KbdInteractiveAuthentication, KerberosAuthentication, MaxAuthTries, MaxSessions, PasswordAuthentication, PermitEmptyPasswords, PermitOpen, PermitRootLogin, PubkeyAuthentication, RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset, X11Forwarding and X11UseLocalHost.
Его лучше располагать в конце файла, иначе он может воспринять все последующие опции как свои аргументы 2012/5/22 Илья Таскаев <[hidden email]>
В чем суть этого Match? Как он работает?
22 мая 2012 г., 17:26 пользователь Artem Chekunov <[hidden email]> написал:
мне просто по наследству досталось куча серверов на rhel 5.5 в коих подобная фича по просту отстствует
2012/5/22 unk <[hidden email]>
22 мая 2012 г., 9:26 пользователь Artem Chekunov
<[hidden email]> написал:
> о благодалю
> действительно Match меня выручил
> правда он действует только на OpenSSH последних версий
Если Вы именно про match localaddress, то да, фича относительно свежая.
А сам match появился в 4.0 т.е. около 3х лет.
-- Best Regards Artem Chekunov Web: http://about.me/achekunovEmail: [hidden email]
Cell phone: +7 962 051 0661 Skype: scorpius_new Jabber: [hidden email]
|
|
Locked
