Zezwól posiadaczom kluczy na dostęp do powłoki LUB logowanie się do adresów IP z białej listy

3

Jako pierwszą linię obrony przed atakami siłowymi ograniczyłem próby logowania SSH za pomocą opakowań TCP (domyślnie odmawiam dostępu i utrzymuję białą listę IP /etc/hosts.allow).

Czasami jednak muszę uzyskać dostęp do mojego serwera z adresu IP, który nie znajduje się na białej liście (a mój system blokuje moje własne próby).

Czy można zezwolić na logowanie SSH z kluczem dla wszystkich adresów IP, ale zabronić logowania tylko hasłem z adresów IP spoza danej białej listy? Wiem, że mogę skonfigurować SSH tak, aby zezwalał tylko na logowanie przy użyciu klucza, ale chciałbym zachować możliwość logowania przy użyciu hasła do zakresu adresów IP.

David Cain
źródło

Odpowiedzi:

5
PasswordAuthentication no

Match Address 192.168.1.0/24
    PasswordAuthentication yes

Match Address 2001:470:1f0b:915::/64
    PasswordAuthentication yes

Ustawiam też różne pliki banerów, Banneraby wyjaśnić, kiedy loginy hasła są akceptowane.

grawitacja
źródło
1
To jest idealne, dziękuję. Dla przyszłych widzów, dla jasności, należy to do sshd_config.
David Cain
A co jeśli nie mam sshd_config? Korzystam z fail2ban, ale chcę ustawić go na białej liście. Chyba powinienem zadać nowe pytanie
Jonathan
@Jathanathan: Jestem pewien, że masz, sshd_configjeśli używasz OpenSSH. I tak, jeśli pytasz o fail2ban, nie ma to absolutnie nic wspólnego z tym pytaniem.
grawity