ssh, ограничение на авторизацию из вне [Решено]

[LDV]

Доброго времени суток.
Долго уже думаю, но реализовать так и не получается, вот в чем суть:
Имеем: LTSP серевер и без дисковые терминалы, авторизация идет по 22 порту. Сервер находится за NAT и смотрит в инет по другому порту.
Что нужно: Ограничить вход пользователей из инета. Т.е. дать возможность некоторым пользователям заходить удаленно из инета, другим же запретить, но при этом что бы все пользователи из локальной сети могли зайти.
Что было сделано: Можно конечно всем пользователям задать сложные пароли, но это не выход так как  у большинства пользователей пароль совпадает с логином. Ограничение по AllowUser и AllowGroups тоже не подходит, так как тогда обычные пользователи не могут авторизоваться с терминалов. Пытался ограничить по ListenAddress с использованием порта, дельного ничего не вышло. По iptables гугл тоже толкового не говорит.

Возможно ли организовать ограничение входа на сервер из вне, но при этом не нарушать работу терминалов?

[censor]

вариант заюзать ключи и авторизовывать только по ним не подойдет?
сложные пароли больше не потребуются

[LDV]

вариант заюзать ключи и авторизовывать только по ним не подойдет?
сложные пароли больше не потребуются

Думал насчет такого варианта, но стоят терминалы которые грузятся по сети, как тут прикрутить ключ?
Да и не всегда могут быть ключи под рукой, а получить доступ к серваку нужно с любого места.

[censor]

ну как бы на флешке.

[LDV]

ну как бы на флешке.

Это понятно, но как его прикрутить к boot`у у ltsp загрузчика? Пользователи на разных терминалах могут меняться, это усложняет привязку.
Хотелось бы конечно все сделать на уровне конфигов.

[podkovyrsty]

ну как бы на флешке.

Это понятно, но как его прикрутить к boot`у у ltsp загрузчика?

Вот и развивайте это направление (:
Img же вам никто редактировать не мешает?

[LDV]

ну как бы на флешке.

Это понятно, но как его прикрутить к boot`у у ltsp загрузчика?

Вот и развивайте это направление (:
Img же вам никто редактировать не мешает?

Еще раз повторюсь, на терминалах могут быть авторизованы разные пользователи, привязка к автологину не подойдет.
Суть проблемы просто разрешить  доступ к серваку из вне некоторым пользователям остальным только локально, может еще у кого-нибудь есть идеи как это сделать?

Самый простой вариант, это ограничить пользователей на порт который смотрит в инет, но возможно ли это организовать средствами ssh и iptables?

[podkovyrsty]

ну как бы на флешке.

Это понятно, но как его прикрутить к boot`у у ltsp загрузчика?

Вот и развивайте это направление (:
Img же вам никто редактировать не мешает?

Еще раз повторюсь, на терминалах могут быть авторизованы разные пользователи, привязка к автологину не подойдет.
Суть проблемы просто разрешить  доступ к серваку из вне некоторым пользователям остальным только локально, может еще у кого-нибудь есть идеи как это сделать?

Ох, коллега.
В любой нормальной компании с удаленными сотрудниками, чтобы им подключиться, сначала надо установить впн соединение, в нашем случае это может быть ssh туннель, а потом авторизироваться. Собственно туннель поднять можно на ключах, а авторизировать дальше как обычно.

[LDV]

ну как бы на флешке.

Это понятно, но как его прикрутить к boot`у у ltsp загрузчика?

Вот и развивайте это направление (:
Img же вам никто редактировать не мешает?

Еще раз повторюсь, на терминалах могут быть авторизованы разные пользователи, привязка к автологину не подойдет.
Суть проблемы просто разрешить  доступ к серваку из вне некоторым пользователям остальным только локально, может еще у кого-нибудь есть идеи как это сделать?

Ох, коллега.
В любой нормальной компании с удаленными сотрудниками, чтобы им подключиться, сначала надо установить впн соединение, в нашем случае это может быть ssh туннель, а потом авторизироваться. Собственно туннель поднять можно на ключах, а авторизировать дальше как обычно.

Согласен, тоже думал насчет VPN, но тут нет такой потребности в создании VPN, всего что нужно, это пускать нескольких пользователей (а точнее 2) на сервер.

P.S. может еще у кого будут идеи, пока остановился на VPN.

[podkovyrsty]

Согласен, тоже думал насчет VPN, но тут нет такой потребности в создании VPN, всего что нужно, это пускать нескольких пользователей (а точнее 2) на сервер.

Дык мы и не поднимаем Openvpn c сертификатами и тройным хендшейком. Просто ssh туннелирование.

[censor]

юзера можно указывать как user@host в парметре AllowUsers
user - локальный с сервера
host - IP или имя системы с которой будет заходить пользователь

[LDV]

юзера можно указывать как user@host в парметре AllowUsers
user - локальный с сервера
host - IP или имя системы с которой будет заходить пользователь

То, что нужно. Спасибо большое помогло!

P.S. Странно, но в манах не заметил такой параметр, а может и не внимательный был.

[censor]

То, что нужно. Спасибо большое помогло!

если у пользователя статичский IP то нормально, если динамика то лучше указывать имя

[LDV]

если у пользователя статичский IP то нормально, если динамика то лучше указывать имя

Немного не согласушь, ведь когда заходишь удаленно, не факт что с одного и того же компа. Решил проблему так (может кому пригодится):

Код: [Выделить]

AllowUsers ldv@*.*.*.* evgeny@192.168.1.* alex@192.168.1.* и т.д.

[fisher74]

Бредовая мысля: запустить 2 sshd для разных направлений, каждый со своим конфигом