Автор Тема: ssh (Прочитано 1834 раз)

ubnt · « : 01 Декабря 2009, 18:06:21 »

доброго времени суток!
компьютер подключен к интеренет. настроен доступ по ssh. необходимо ограничить этот доступ снаружи, т.е чтобы извне нельзя было зацепиться по ssh, а только из локальной сети в которой он находится. подскажите какими средставми это реализовать.

Гарри Кашпировский · « **Ответ #1 :** 01 Декабря 2009, 18:22:37 »

Для начала, поиском

Frank · « **Ответ #2 :** 01 Декабря 2009, 18:23:57 »

man hosts_access

ubnt · « **Ответ #3 :** 01 Декабря 2009, 18:48:14 »

если я правильно понял, то в hosts.allow

sshd : айпи с которого разрешен доступ

все так примитивно?

Frank · « **Ответ #4 :** 01 Декабря 2009, 18:49:13 »

Тебя это расстраивает?

ubnt · « **Ответ #5 :** 01 Декабря 2009, 18:50:26 »

если честно - то да

rapidsp · « **Ответ #6 :** 01 Декабря 2009, 19:01:53 »

Цитата: ubnt от 01 Декабря 2009, 18:50:26

если честно - то да

Никто не мешает загнаться по iptables

Оно интереснее и опять же сексу больше

PbI6A · « **Ответ #7 :** 01 Декабря 2009, 19:07:30 »

Лучше наверно выбирать интервал для доступа из ЛС, чем на конкретный адрес... Хотя, если контора кишит хакерами, может и не стоит

ubnt · « **Ответ #8 :** 01 Декабря 2009, 19:08:39 »

ну я изначально с iptables и заморочался...
а вот такой вопрос, в чем разница как это реализовано, через iptables или как сейчас?

Пользователь решил продолжить мысль 01 Декабря 2009, 19:10:05:

PbI6A:
не принципиально

Tokh · « **Ответ #9 :** 01 Декабря 2009, 21:14:29 »

Цитата: ubnt от 01 Декабря 2009, 18:06:21

чтобы извне нельзя было зацепиться по ssh, а только из локальной сети

Есть файл /etc/ssh/sshd_config
Есть команда man sshd_config
В мане, либо в поисковике, описана опция ListenAddress и опция AllowUsers. Вот про эти две и читайте, нужна первая, вторая - по вкусу. Заодно посмотрите на PermitRootLogin, может захочется поставить там no вместо дефолтного yes.

Frank · « **Ответ #10 :** 01 Декабря 2009, 21:50:14 »

Somewhere there out there, мимо - эти опции либо позволят соединиться откуда угодно, либо не позволят соединиться

Выбрать, с каких айпи можно соединяться, не получится, если только наружный адрес и внутрисетевой не разные - а я нутром чую, что у юзера PPPOE aka VPN, и внешний адрес так же и внутрисетевой.

ubnt · « **Ответ #11 :** 02 Декабря 2009, 00:46:25 »

2Somewhere there out there:

/etc/ssh/sshd_config и правда тут совсем не к месту, там все ок

MastaKuper · « **Ответ #12 :** 02 Декабря 2009, 02:30:37 »

Включаем файрволл

sudo ufw enable

Проверяем что он включен

sudo ufw status verbose

Видим политику файрволла по умолчанию (должно быть - разрешены исходящие инициированные соединения, и запрещены все входящие)

Ну и правило добавляем

sudo ufw allow 22 from (Ваша локальная сеть в CIDR адресации, например 192.168.0.1/24)

И потом снова

sudo ufw status verbose

Убеждаемся что правило включено, наслаждаемся.

Пишу все по памяти, если что - man ufw.

ubnt · « **Ответ #13 :** 02 Декабря 2009, 11:37:25 »

ну хорошо, третий вариант появился

так в чем же все таки принципиальная разница всех этих трех вариантов?

Frank · « **Ответ #14 :** 02 Декабря 2009, 12:38:58 »

в механизме работы

Форум русскоязычного сообщества Ubuntu

Автор Тема: ssh (Прочитано 1834 раз)

ubnt

ssh

Гарри Кашпировский

Re: ssh

Frank

Re: ssh

ubnt

Re: ssh

Frank

Re: ssh

ubnt

Re: ssh

rapidsp

Re: ssh

PbI6A

Re: ssh

ubnt

Re: ssh

Tokh

Re: ssh

Frank

Re: ssh

ubnt

Re: ssh

MastaKuper

Re: ssh

ubnt

Re: ssh

Frank

Re: ssh