Restringir acesso via SSH [RESOLVIDO]

stenioc1
(usa Red Hat)

Enviado em 24/07/2014 - 20:38h

Olá pessoal do VOL,

Preciso de ajuda numa questão, gostaria de restringir o acesso de um login (ex: teste), aonde a restrição via SSH seja aceita somente de um determinado hostname ou IP (ex: o acesso partindo do servidor1 para o servidor2), mas não tenho ideia como proceder, pois não quero bloquear os demais acessos, somente limitar o acesso desde login, alguém tem ideia do que posso fazer ?

Stenio Cordeiro

removido
(usa Nenhuma)

Enviado em 24/07/2014 - 21:20h

A solução mais viável é colocar um script dentro do arquivo .profile do usuário que quer bloquear para determinado ip. então assim que o usuário logar ele vai verificar se o usuário conectado está logado de um servidor ssh remoto e qual é este servidor.

removido
(usa Nenhuma)

Enviado em 24/07/2014 - 21:58h

Por exemplo, supondo que o nome do usuário é jose e o ip 10.10.10.5. testa ai.

ip="$(w|grep -E '(10.10.10.5)'|awk -F" " '{print $3}')"

user="$(w|grep -E '(10.10.10.5)'|awk -F" " '{print $1}')"

[ "$ip" = "10.10.10.5" -a "$user" = "jose" ]&& { echo;echo "você não pode logar pelo IP $ip";echo;exit;}

 

removido
(usa Nenhuma)

Enviado em 24/07/2014 - 22:53h

# vi /etc/ssh/sshd_config

DenyUsers teste@192.168.0.10 

$ man sshd_config

DenyUsers

This keyword can be followed by a list of user name patterns, separated by spaces. Login is disallowed for user names that match one of the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts. The allow/deny directives are processed in the following order: DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.

removido
(usa Nenhuma)

Enviado em 24/07/2014 - 23:54h

Cara me precipitei.... sabia desta opção DenyUsers, mas não tinha lido todo o conteúdo da documentação de manual do arquivo sshd_config sobre essa opção, para saber que poderia usar seguindo esse padrão user@hots. valeu pela dica.

removido
(usa Nenhuma)

Enviado em 25/07/2014 - 00:49h

Di boa Edson. Eu também tive que reler o manual.

Abraço!

stenioc1
(usa Red Hat)

Enviado em 26/07/2014 - 16:37h

Pessoal, minha dúvida é liberar o acesso somente de um host e não realizar o bloqueio, desculpe se não me expressei da forma correta.

Exemplo: liberar o acesso do login teste somente a partir do servidor 192.168.10.10

AllowUsers teste@192.168.10.10 (não sei se a sintaxe está correta)

E o acesso a partir de qualquer outro IP, seja negado, mesmo que o usuário saiba a senha.

Obrigado pela ajuda.

removido
(usa Nenhuma)

Enviado em 26/07/2014 - 16:50h

De acordo com manual do sshd_config a sintaxe da opção passada por você está correta. testa e dá um retorno.

stenioc1
(usa Red Hat)

Enviado em 26/07/2014 - 17:26h

Pessoal, até funcionou, mas ele bloqueia os demais acessos, desejo somente restringir o acesso desse login teste, a partir de um IP especifico, os demais logins desejo manter o acesso, isso é possivel ?

removido
(usa Nenhuma)

Enviado em 26/07/2014 - 18:08h

Adicione todos os outro usuário a um grupo e configura o parâmetro AllowGroups.

stenioc1
(usa Red Hat)

Enviado em 30/07/2014 - 20:37h

Obrigado pessoal, liberei os demais grupos e funcionou perfeitamente

Vlw