Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: SSH zo veilig ingesteld?  (gelezen 615 keer)

Offline koen_92

  • Lid
  • Steunpunt: Nee
SSH zo veilig ingesteld?
« Gepost op: 2011/08/24, 19:16:14 »
Hallo,

Ik heb hier thuis een homeserver draaien.
Hierop draait een ssh-server, waardoor ik deze pc (die op een niet al te gemakkelijke plek staat) gemakkelijk kan op afstand kan besturen.
Momenteel kan ik alleen inloggen op die pc vanaf het lokale netwerk. Dit wil ik ook graag zo houden.
Echter wil ik 1 poort beveiligd/getunneld delen met een aantal vrienden. Dit is poort 6892.
Hiervoor moet de ssh-service vanaf het internet benaderbaar zijn, maar ik wil nog wel dat het beheer enkel lokaal mogelijk is!

Ik heb het nu zo gedaan, ik heb twee gebruikers op het systeem genaamd: beheerder en remote.
Dan heb ik in sshd_config dit toegevoegd:
# Restrictions for extra security
AllowUsers beheerder@192.168.1.?? remote
PermitOpen 192.168.1.37:6892 #192.168.1.37 is hier het lokale ipadres van de server
Hiermee kan beheerder alleen vanaf een intern ip inloggen en kan enkel poort 6892 getunneld / geforward worden.
De gebruiker 'remote' kan nog wel vanaf overal op het internet inloggen.

Vervolgens staat dit nog in /etc/passwd:
remote:x:1005:1005:,,,:/home/remote:/bin/false
Op die manier kan de gebruiker 'remote' geen shell openen, en dus effectief niet inloggen of bestanden lezen/kopieren. Deze gebruiker kan nu enkel nog poort 6892 tunnelen.

Is dit zo allemaal veilig ingesteld? Of zie ik nog een aantal dingen over het hoofd, waardoor men met een beetje creativiteit toch vanaf het hele internet als beheerder in kan loggen (mits men de wachtwoorden weet natuurlijk)?
En is het zo voor de gebruiker 'buiten' alsnog mogelijk om een shell te openen of bestanden te lezen?
« Laatst bewerkt op: 2011/08/24, 19:18:00 door koen_92 »

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: SSH zo veilig ingesteld?
« Reactie #1 Gepost op: 2011/08/24, 20:44:43 »
Ik ken de exacte syntax niet, maar een IP adres met vraagtekens erin zal niet werken lijkt me.
Je kan een hele range beter in CIDR-indeling aangeven.
Dan wordt het zoiets:
AllowUsers beheerder@192.168.1.0/24 remote

Offline Thomas de Graaff

  • Lid
  • Steunpunt: Nee
Re: SSH zo veilig ingesteld?
« Reactie #2 Gepost op: 2011/08/24, 23:35:17 »
Ik vind het er goed uit zien.

(Ook voor configuratiebestanden zijn er vaak man bestanden. Dus wil je de exacte syntax weten voor de adresweergave: man sshd_config. Die verwijst vervolgens naar PATTERNS in man ssh_config. Ziet er goed uit volgens mij.)

Offline koen_92

  • Lid
  • Steunpunt: Nee
Re: SSH zo veilig ingesteld?
« Reactie #3 Gepost op: 2011/08/25, 14:01:04 »
Ja die ?? in het ip-adres heb ik inderdaad uit de man-page onder het kopje patterns gevonden en dat lijkt te werken.
De enige extra wijziging die ik nog heb aangebracht is deze:
$ sudo passwd -l remote
Zo kan de gebruiker remote (de enige gebruiker die van buitenaf kan inloggen) enkel inloggen met een ssh-key, terwijl ik lokaal nog gewoon met wachtwoorden kan inloggen (dat is vaak best wel gemakkelijk, omdat anders op iedere pc hier de keys toe moet gaan voegen).