Boa tarde pessoal.
Gostaria de saber se é possível eu restringir que somente determinada máquina consiga conectar-se, via ssh, em uma máquina remota com o usuário root.
Boa tarde pessoal.
Gostaria de saber se é possível eu restringir que somente determinada máquina consiga conectar-se, via ssh, em uma máquina remota com o usuário root.
Sim... no iptables vc pode definiar qual ip entrar pelo SSH.... por exemplo.. na minha empresa.. só o ip externo x.x.x.x pode acessar ssh lá... o resto nao entra...
mais ou menos assim:
iptables -A INPUT -p tcp -s 200.x.x.x/26 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 22 -j REJECT
assim vc libera o ssh pra esse ip... e bloqueia pro resto
obs.: eth1 é sua interface externa...
flw
acho que assim fica mais organizado:
iptables -t filter -N SSH
iptables -t filter -I INPUT -p tcp --dport 22 -j SSH
iptables -t filter -A SSH -s 200.200.200.200 -j ACCEPT
iptables -t filter -A SSH -s 192.168.0.1 -j ACCEPT
iptables -t filter -A SSH -j DROP
assim ele cria uma tabela .. e desvia todo trafego do ssh para esta tabela.. e vc vai cadastrando os ips que pode acessar na nova tabela
Alexandre, boa tarde .....
E como ficaria caso o ip externo que quer acessar o servidor remoto for ip dinâmico ???
Eu li essa sua solução e achei interessante. Também tenho alguns problemas de acesso externo ao ssh. Não deixar que outros usuários e principalmente os xeretas ficarem tentando acessar o ssh do nosso servidor.
Um grande abraço caro amigo .....
para ip dinamico vc tem 2 opções
1- adicionar manualmente o ip (caso seja VOCE q tenha o ip dinamico.. fica inviavel)
2- criar um script em php que voce acesse .. coloque login e senha.. ai passa para uma segunda tela onde vc digita o ip que quer adicionar.. e o php executa o comando para adicionar....
o caso da opção 2 .. vc precisa usar o SUDO .. e permitir que o apache execute o iptables com permissao de root ..
Amigo, existe uma outra opção. Você pode usar o knock, ele é uma proteção a mais. Pra sua solução eu acho que é válido. Assim você adiciona uma sequencia de portas pra bater e aí ele abre a 22 apenas para o teu IP que você está no momento e depois fecha ela novamente.
Galera, obrigado pelas dicas .........
Vou correr atrás de cada solução apresentada .........
Obrigado povo do Underlinux ..................