ssh in sicurezza

Messaggio da **ale** » 04 lug 2006, 13:41

vorrei aprire un accesso ssh dall'esterno al mio server linux.
però ho utenti con password assurde, troppo facili.
potrei aprirlo solo per root verso l'esterno?
come si può fare?
che rischi ci sono?
io vorrei usarlo per incanalare vari traffici oltre alla login testuale, ad esempio AFP, SMB, FTP e X.

Messaggio da **nikez** » 04 lug 2006, 14:13

Io ti sconsiglierei vivamente di aprire l'accesso ssh per root verso l'esterno (di solito root è l'unico utente che si esclude dagli accessi esterni)...piuttosto crea un nuovo utente con una password buona e abilita l'accesso solo a lui.
Per incanalare X non ci sono problemi (basta abilitarlo in etc/sshd.conf e poi accedere con ssh -X), per FTP puoi usare sftp, per SMB c'è questo:
http://www.blisstonia.com/eolson/notes/smboverssh.php
per afp non so...

Messaggio da **ale** » 04 lug 2006, 14:19

e come abilito ssh all'esterno solo per quell'utente e all'interno per tutti?
per AFP sul mac è una checkbox da spuntare.
devo controllare se il server AFP per linux ha la possibilità di gestire questa cosa.
al limite uso sftp

grazie nikez!

Messaggio da **nikez** » 04 lug 2006, 14:25

Qui ha qualche informazione su come fare
http://www.ssh.com/support/documentatio ... ogins.html
dovrebbe essere:

Codice: Seleziona tutto

AllowUsers utentechevoglioallesterno@*
AllowHosts Computerdicasa

da impostare in /etc/ssh/ssd_config (o qualcosa del genere)

Messaggio da **nikez** » 04 lug 2006, 14:30

mmm no spetta così si dà accesso solo dal Computerdicasa...potresti fare:

Codice: Seleziona tutto

AllowUsers *@192.168.*   //tutti quelli interni
AllowUsers utentechepuoaccederedaesterno@*

Messaggio da **ale** » 04 lug 2006, 14:36

fico, poi lo faccio.
ti dirò come va.
grazie

Messaggio da **ale** » 04 lug 2006, 15:02

ok funziona.
veloce ed indolore

Messaggio da **ale** » 04 lug 2006, 18:08

ora come faccio a dire che questo utente non può fare modifiche a certi filesystem?

soprattutto a quello che contiene tutti i dati che è montato in una certa directory dentro /mnt

berto · Messaggio da **berto** » 04 lug 2006, 19:02

ale ha scritto:ora come faccio a dire che questo utente non può fare modifiche a certi filesystem?
soprattutto a quello che contiene tutti i dati che è montato in una certa directory dentro /mnt

Mi sa che ti tocca lavorare sui gruppi e montare il fs con permessi tali che l'utente non sia nell'eventuale gruppo che ha la "w" sul punto di mount (o nel gid di fstab?), e che ovviamente gli other non possano scriverci. Non c'entra con ssh, quindi.

Questi sono i casi in cui le ACL di ntfs sono più facili da usare di quelle classiche unix...