Skocz do zawartości
Jarosław Szmańda

Logowanie do usług tylko z określonego adresu IP

Polecane posty

Cześć,

 

Chciał bym zabezpieczyć następujące usługi, SSH, Mysql oraz FTP w taki sposób aby do administracji można było logować się tylko z mojego adresu IP.

 

Szukałem w Google ale jakoś nie bardzo znalazłem rozwiązanie.

Znalazłem dla SSH ale też nie działa...

 

Pomożecie?

 

Pzdr!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wystarczy jedna reguła IP tables (gdzie 256.1024.512.8 to twój adres IP, zakładam domyślną politykę accept). Po kolei SSH, FTP, MySQL:

iptables -A INPUT -s ! 256.1024.512.8 -p tcp --dport 22 -j DROP
iptables -A INPUT -s ! 256.1024.512.8 -p tcp --dport 21 -j DROP
iptables -A INPUT -s ! 256.1024.512.8 -p tcp --dport 3306 -j DROP

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A takie buty... Nie pomyślałem w ten sposób, chciałem konfigurować jakoś specjalnie aplikację :blink:

 

A da się jeszcze jakoś tak ustawić SSH aby nie wymagał hasła, a opierał się jedynie na kluczu RSA?

 

Właściwie to mam porty pozmieniane nawet dla tych usług. Te restrykcję są przydatne czy to tylko moja paranoja?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Paranoja, ustaw ssh dla danego IP i niech Ci się z jakiegoś powodu adres zmieni...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mam stałe IP. Już od 4 lat...

 

Xorg ( Jak Ty masz na imię?) Więc to co teraz mam - zmiana portu na 4 cyfrowy oraz hasło 128 bitowe wystarcza Twoim zdaniem?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
A da się jeszcze jakoś tak ustawić SSH aby nie wymagał hasła, a opierał się jedynie na kluczu RSA?

W Debianie. Jeżeli nie masz plików id_rsa i id_rsa.pub w katalogu ~/.ssh/ to wywołujesz polecenie ssh-keygen . Jeżeli już masz to pozostało tylko przekopiować klucz publiczny na serwer:

ssh-copy-id -i ~/.ssh/id_rsa.pub user@serwer.tld

 

Po tej operacji będziesz mógł się zalogować bez hasła na serwer.

 

Jeżeli maszyną docelową nie jest Debian możliwe, że będziesz musiał w konfiguracji daemona ssh (/etc/ssh/sshd_config) dopisać:

RSAAuthentication yes
PubkeyAuthentication yes

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
A da się jeszcze jakoś tak ustawić SSH aby nie wymagał hasła, a opierał się jedynie na kluczu RSA?
OpenSSH(!) jest tak domyślnie skonfigurowany. Jeżeli chcesz zupełnie wyłączyć możliwość uwierzytelniania przy użyciu hasła wpisywanego w trybie interaktywnym, to poczytaj dokumentację.

 

Właściwie to mam porty pozmieniane nawet dla tych usług. Te restrykcję są przydatne czy to tylko moja paranoja?
Jeżeli nie udostępniasz tych usług publicznie to są one jak najbardziej wskazane.

 

Paranoja, ustaw ssh dla danego IP i niech Ci się z jakiegoś powodu adres zmieni...
Dlatego można zawsze podać kilka zaufanych adresów IP :blink:

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
OpenSSH(!) jest tak domyślnie skonfigurowany.

Na OVH Release 2 niestety nie, pewnie na Gentoo też (no chyba, że chłopaki z OVH zaszaleli i to wyłączyli tylko dla swojego mega distro :blink:).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Chciał bym zabezpieczyć następujące usługi, SSH, Mysql oraz FTP w taki sposób aby do administracji można było logować się tylko z mojego adresu IP.

 

Mozesz to zrobic na wiele sposobow:

1. iptables, dziala na najnizszym poziomie, tniesz pakiety

2. tcpwrapper - pliki /etc/hosts.allow i /etc/hosts.deny, dziala na wyzszej warstwie

3. jesli laczysz sie po kluczach RSA to w authorized_keys mozesz dopisac z przodu klucza: from="1.2.3.4"

4. w mysql mozesz nadac prawa uzytkownikowi do laczenia sie z okreslonego hosta

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Na OVH Release 2 niestety nie, pewnie na Gentoo też (no chyba, że chłopaki z OVH zaszaleli i to wyłączyli tylko dla swojego mega distro :blink:).

Widocznie wyłączyli...

	 PubkeyAuthentication
		 Specifies whether public key authentication is allowed.  The de-
		 fault is ``yes''.  Note that this option applies to protocol ver-
		 sion 2 only.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×