Logowanie do usług tylko z określonego adresu IP

[Jarosław Szmańda 42]

Cześć,

 

Chciał bym zabezpieczyć następujące usługi, SSH, Mysql oraz FTP w taki sposób aby do administracji można było logować się tylko z mojego adresu IP.

 

Szukałem w Google ale jakoś nie bardzo znalazłem rozwiązanie.

Znalazłem dla SSH ale też nie działa...

 

Pomożecie?

 

Pzdr!

[p 3]

klik

[exa 0]

Wystarczy jedna reguła IP tables (gdzie 256.1024.512.8 to twój adres IP, zakładam domyślną politykę accept). Po kolei SSH, FTP, MySQL:

iptables -A INPUT -s ! 256.1024.512.8 -p tcp --dport 22 -j DROP
iptables -A INPUT -s ! 256.1024.512.8 -p tcp --dport 21 -j DROP
iptables -A INPUT -s ! 256.1024.512.8 -p tcp --dport 3306 -j DROP

[Jarosław Szmańda 42]

A takie buty... Nie pomyślałem w ten sposób, chciałem konfigurować jakoś specjalnie aplikację

 

A da się jeszcze jakoś tak ustawić SSH aby nie wymagał hasła, a opierał się jedynie na kluczu RSA?

 

Właściwie to mam porty pozmieniane nawet dla tych usług. Te restrykcję są przydatne czy to tylko moja paranoja?

[xorg 693]

Paranoja, ustaw ssh dla danego IP i niech Ci się z jakiegoś powodu adres zmieni...

[Jarosław Szmańda 42]

Mam stałe IP. Już od 4 lat...

 

Xorg ( Jak Ty masz na imię?) Więc to co teraz mam - zmiana portu na 4 cyfrowy oraz hasło 128 bitowe wystarcza Twoim zdaniem?

[exa 0]

A da się jeszcze jakoś tak ustawić SSH aby nie wymagał hasła, a opierał się jedynie na kluczu RSA?

W Debianie. Jeżeli nie masz plików id_rsa i id_rsa.pub w katalogu ~/.ssh/ to wywołujesz polecenie ssh-keygen . Jeżeli już masz to pozostało tylko przekopiować klucz publiczny na serwer:

ssh-copy-id -i ~/.ssh/id_rsa.pub user@serwer.tld

 

Po tej operacji będziesz mógł się zalogować bez hasła na serwer.

 

Jeżeli maszyną docelową nie jest Debian możliwe, że będziesz musiał w konfiguracji daemona ssh (/etc/ssh/sshd_config) dopisać:

RSAAuthentication yes
PubkeyAuthentication yes

[p 3]

A da się jeszcze jakoś tak ustawić SSH aby nie wymagał hasła, a opierał się jedynie na kluczu RSA?

OpenSSH(!) jest tak domyślnie skonfigurowany. Jeżeli chcesz zupełnie wyłączyć możliwość uwierzytelniania przy użyciu hasła wpisywanego w trybie interaktywnym, to poczytaj dokumentację.

 

Właściwie to mam porty pozmieniane nawet dla tych usług. Te restrykcję są przydatne czy to tylko moja paranoja?

Jeżeli nie udostępniasz tych usług publicznie to są one jak najbardziej wskazane.

 

Paranoja, ustaw ssh dla danego IP i niech Ci się z jakiegoś powodu adres zmieni...

Dlatego można zawsze podać kilka zaufanych adresów IP

[exa 0]

OpenSSH(!) jest tak domyślnie skonfigurowany.

Na OVH Release 2 niestety nie, pewnie na Gentoo też (no chyba, że chłopaki z OVH zaszaleli i to wyłączyli tylko dla swojego mega distro ).

[Jarosław Szmańda 42]

No i teraz działa super Dzięki wielkie Konrad

[ahes 83]

Chciał bym zabezpieczyć następujące usługi, SSH, Mysql oraz FTP w taki sposób aby do administracji można było logować się tylko z mojego adresu IP.

 

Mozesz to zrobic na wiele sposobow:

1. iptables, dziala na najnizszym poziomie, tniesz pakiety

2. tcpwrapper - pliki /etc/hosts.allow i /etc/hosts.deny, dziala na wyzszej warstwie

3. jesli laczysz sie po kluczach RSA to w authorized_keys mozesz dopisac z przodu klucza: from="1.2.3.4"

4. w mysql mozesz nadac prawa uzytkownikowi do laczenia sie z okreslonego hosta

[p 3]

Na OVH Release 2 niestety nie, pewnie na Gentoo też (no chyba, że chłopaki z OVH zaszaleli i to wyłączyli tylko dla swojego mega distro ).

Widocznie wyłączyli...

	 PubkeyAuthentication
		 Specifies whether public key authentication is allowed.  The de-
		 fault is ``yes''.  Note that this option applies to protocol ver-
		 sion 2 only.