Strona 1 z 2
Konfiguracja SSH Małe pytanko.
: 05 lutego 2014, 14:21
autor: Faza
Witam. Mam pytanie jak sprawdzić czy ssh pozwala na połączenia użytkownikom innym niż root ? I ewentualnie jak włączyć taką opcje.
Pozdrawiam,
Faza.
: 05 lutego 2014, 15:02
autor: buker999
SSH pozwala połączyć się każdemu użytkownikowi chyba że w konfiguracji jest inaczej.
Coś mi się zdaje że próbujesz się połączyć z innym hostem z konta root wpisując.
Jak chcesz się połączyć na innego użytkownika niż jesteś zalogowany trzeba go zdefiniować
Polecam przeczytać
: 05 lutego 2014, 15:16
autor: Yampress
PermitRootLogin yes
pozwala na łączenie się rootowi bzpośrednio , co jest najgłupszym i najbardziej nieodpowiedzialnym posunięciem w konfiguracji zmniejszającym bezpieczeństwo
Przecież możesz poblokować userów, grupy, które nie mogą się logowaćdo ssh ....
http://knowledgelayer.softlayer.com/lea ... ssh-access
Od razu widać, że jesteś świeży i niedoświadczony skoro na roota chcesz się od razu bezpośrednio logować. Czas się nauczyć poprawnych wzorców postępowania, albo do końca życia być administratorem, który nie jest dobry w tym co robi, nie jest profesjonalistą tylko amatorem! A skoro nie jest dobry to nigdy nie ma roboty! Bo nic dobrze nie robi.
: 06 lutego 2014, 01:00
autor: Andyk
Jak mają się w ogóle nie logować to wystarczy tylko odebrać im dostęp do powłoki.
A co do logowania na root'a to wystarczy choćby fail2ban, albo vpn, certyfikaty, hosts.allow, iptables.
Jest mnóstwo możliwości, że można mieć roota i prawdopodobieństwo włamu obniżyć do poziomu takiego jak w przypadku zezwolenia na logowanie tylko dla zwykłego usera.
: 06 lutego 2014, 12:04
autor: buker999
Faza pisze:Witam. Mam pytanie jak sprawdzić czy ssh pozwala na połączenia użytkownikom innym niż root ? I ewentualnie jak włączyć taką opcje.
Pozdrawiam,
Faza.
Zdaje mi się że pytanie dotyczyło troszkę czego innego :P. Ale informacje które podaliście są jak najbardziej bardzo istotne i prawdziwe. A po co łączyć się na roota po ssh? Dodatkowa rzeźba do prostego rozwiązania które podał
Yampress. Na roota się nie wchodzi jak nie ma takiej potrzeby a jak jest potrzeba to wchodzisz z konta zwykłego użytkownika.
: 06 lutego 2014, 12:25
autor: Andyk
buker999 pisze:Na roota się nie wchodzi jak nie ma takiej potrzeby a jak jest potrzeba to wchodzisz z konta zwykłego użytkownika.
Ciekawe czy przy kilkuset serwerach też byś tak robił i kiedy by Ci się to znudziło.
I dodatkowo kilkaset haseł? No chyba że wszędzie ustawiłbyś takie samo...
: 06 lutego 2014, 12:43
autor: buker999
Pęk Kluczy na tokena i problem haseł rozwiązany. Jest wiele sposobów. Jakoś nie mam z tym problemów. I nie ma co się burzyć twoje metody też są dobre tylko blokada dostępu na roota to podstawa, która daje bardzo duży poziom bezpieczeństwa jeśli chodzi o dostęp zdalny do maszyny.
: 08 lutego 2014, 00:50
autor: Andyk
Ale ja się nie burzę. Nie uważam jednak, że to że ktoś napisał coś w podręczniku 10 lat temu i jest to teraz przekazywane z pokolenia na pokolenie -jakieś sztywne zasady, że się trzeba tego kurczowo trzymać. Z bezpieczeństwem jest tak, że najpierw trzeba mieć świadomość niebezpieczeństwa, bez tej wiedzy
trudno cokolwiek zabezpieczyć. Samo wskazanie, że należy tak zrobić bo tak, nikomu nie pomorze.
: 08 lutego 2014, 09:58
autor: Yampress
Tylko wiesz. Po co wprowadzać tysiące mechanizmów ochronnych (gdzie można się pogubić i trzeba je wszystkie poznać), kiedy najprostsza operacja = zmiana w konfiguracji sshd już podnosi bezpieczeństwo.
: 10 lutego 2014, 14:57
autor: sethiel
A co do pytania Faza to w /etc/passwd masz też informację kto może się do ssh logować - jaką powłokę może używać (lub żadną jeśli to np tylko użytkownik samby lub ftp).
Andyk: pomoże przez ż.
Andyk: ustawienie permitrootlogon no to podstawa, i zasłanianie się "wiem co robię"/albo "to przecież kolejne hasło" to żaden argument.