Autorisierte Schlüssel nur von externer IP-Adresse, aber intern zulässige Passwörter

1043
Jarvin

Ich habe meine sshd_config so eingerichtet, dass nur autorisierte Schlüssel anstelle von Passwörtern akzeptiert werden, um mein Netzwerk zu schützen. Kann diese Einschränkung nur für externe IPs gelten und ich kann weiterhin Kennwörter von Computern in meinem Netzwerk verwenden?

0

1 Antwort auf die Frage

1
Arcege

Möglicherweise können Sie über die MatchDirektive in der Datei sshd_config etwas tun . Das ist nicht ausprobiert.

Match Host *.my.net PasswordAuthentication yes Match Host !*.my.net PasswordAuthentication no PubkeyAuthentication yes 

Diese müssen am Ende der Konfigurationsdatei stehen. Lesen Sie die sshd_configManpage für weitere Details.

Ich würde die Pubkey-Authentifizierung für Ihr lokales Netzwerk nicht einschränken. Ich selbst würde so weit gehen, dass ich auch für die Einheimischen einen Schlüssel brauche.

Mein Plan ist es, den pub-Schlüssel überall zuzulassen, aber auch interne Kennwörter. Warum empfehlen Sie das nicht? Jarvin vor 12 Jahren 0
Der private Schlüssel wird in der Box des Benutzers aufbewahrt und wird nicht über die SSH-Protokolle nach außen kopiert, übertragen oder zugänglich. Bei der Passwortauthentifizierung wird das Passwort übertragen (über einen verschlüsselten Kanal, ja). Bei pubkey plus ssh-Agenten werden Kennwort / Passphrasen einmal pro Sitzung eingegeben. Dies bedeutet, dass die Wahrscheinlichkeit, dass Kennwörter falsch eingegeben werden, geringer ist. Wenn Sie davon ausgehen, dass Sie den Anmeldeinformationen in Ihrem lokalen Netzwerk vertrauen, könnte Pubkey als ausreichende Authentifizierung angesehen werden. Ich verwende auch die pubkey-Authentifizierung (mit command = "" in authorized_keys), um zu prüfen, wer sich in gemeinsamen Konten anmeldet. Arcege vor 12 Jahren 0
@Arcege, ich denke du hast die Einschränkungen falsch verstanden - es sollte "Passwort nein, Pubkey ja" für Verbindungen von außen sein. grawity vor 12 Jahren 0
Nein, ich habe mich nur vertippt ... bekomme das mit zwei 5Yos, die herumlaufen ... ich entschuldige mich. Außerdem muss `Host` zur Match-Zeile hinzugefügt werden. Arcege vor 12 Jahren 0
@Dan: Ein Grund dafür, intern keine kennwortbasierte Authentifizierung zuzulassen, besteht darin, dass Eindringlinge einen Mechanismus zum Erraten von Kennwörtern durch Brute-Force- oder Wörterbuchangriffe erhalten. Ihre Räumlichkeiten werden nicht nur von vertrauenswürdigen Mitarbeitern, sondern auch von temporärem Reinigungspersonal, Handwerkern und anderen Besuchern genutzt. Wenn ein vorhandener Computer einen Virus entdeckt (oder der Laptop / Tablet / das Telefon eines Besuchers hat einen Trojaner), befindet sich Malware jetzt in einer Umgebung mit schwächerer Sicherheit und kann leichter in andere Computer eindringen. RedGrittyBrick vor 12 Jahren 0