Hallo,
Ik heb hier thuis een homeserver draaien.
Hierop draait een ssh-server, waardoor ik deze pc (die op een niet al te gemakkelijke plek staat) gemakkelijk kan op afstand kan besturen.
Momenteel kan ik alleen inloggen op die pc vanaf het lokale netwerk. Dit wil ik ook graag zo houden.
Echter wil ik 1 poort beveiligd/getunneld delen met een aantal vrienden. Dit is poort 6892.
Hiervoor moet de ssh-service vanaf het internet benaderbaar zijn, maar ik wil nog wel dat het beheer enkel lokaal mogelijk is!
Ik heb het nu zo gedaan, ik heb twee gebruikers op het systeem genaamd: beheerder en remote.
Dan heb ik in sshd_config dit toegevoegd:
# Restrictions for extra security
AllowUsers beheerder@192.168.1.?? remote
PermitOpen 192.168.1.37:6892 #192.168.1.37 is hier het lokale ipadres van de server
Hiermee kan beheerder alleen vanaf een intern ip inloggen en kan enkel poort 6892 getunneld / geforward worden.
De gebruiker 'remote' kan nog wel vanaf overal op het internet inloggen.
Vervolgens staat dit nog in /etc/passwd:
remote:x:1005:1005:,,,:/home/remote:/bin/false
Op die manier kan de gebruiker 'remote' geen shell openen, en dus effectief niet inloggen of bestanden lezen/kopieren. Deze gebruiker kan nu enkel nog poort 6892 tunnelen.
Is dit zo allemaal veilig ingesteld? Of zie ik nog een aantal dingen over het hoofd, waardoor men met een beetje creativiteit toch vanaf het hele internet als beheerder in kan loggen (mits men de wachtwoorden weet natuurlijk)?
En is het zo voor de gebruiker 'buiten' alsnog mogelijk om een shell te openen of bestanden te lezen?