nega ssh de todos exceto 1 IP e permite root de tudo

0

Consegui negar o ssh ao meu servidor de todos os endereços IP, exceto 1, inserindo

sshd: all

em /etc/hosts.deny

e

sshd: x.x.x.x

em /etc/hosts.allow (oculto)

mas quero adicionar uma exceção que permita que o root faça o log de todos os lugares. É possível fazer uma coisa dessas?

    
por Peter Hayek 17.12.2015 / 13:47

1 resposta

0

Eu encontrei a resposta!

Mas antes de listá-lo, responderei a seus comentários pré-julgamento de jovens companheiros:

  1. Não estou tentando criar um login seguro.

  2. O que estou tentando fazer é forçar os usuários (além do root) a fazer login no meu dispositivo através de um servidor específico com um endereço IP específico, que pode ser chamado de JUMP SERVER. porque? porque estou rastreando o histórico de comandos deles e para saber o que e quando eles estão fazendo o login. por que não usar o LDAP / RADIUS? porque meus servidores estão sendo executados em um sistema operacional reconfigurado que não suporta o recurso. Como estou acompanhando o histórico dos usuários? Estou criando um script que toda vez que alguém enviar um ssh para os meus servidores me enviará o nome de usuário + hora de login e o mesmo para logout.

  3. E lá vai você, uma versão curta do que estou tentando fazer. Agora por favor, se você tiver alguma dúvida, não hesite em perguntar.

a resposta é a seguinte:

vi /etc/security/access.conf

e adicione o seguinte:

+:root:ALL
+:ALL:x.x.x.x
-:ALL:ALL

considerar x.x.x.x é o único endereço IP que você deseja permitir que todos os usuários façam login.

Então vi /etc/pam.d/sshd e emendar o abaixo:

account required pam_access.so
    
por 17.12.2015 / 15:23