Авторизованные ключи только с внешнего IP, но внутренние пароли разрешены

908
Jarvin

Я просто настроил свой sshd_config так, чтобы он принимал только авторизованный ключ вместо паролей, чтобы защитить мою сеть. Можно ли применить это ограничение только к внешним IP-адресам и разрешить мне по-прежнему использовать пароли с компьютеров в моей сети?

0

1 ответ на вопрос

1
Arcege

Возможно, вы сможете что-то сделать с помощью Matchдирективы в файле sshd_config. Это не проверено.

Match Host *.my.net PasswordAuthentication yes Match Host !*.my.net PasswordAuthentication no PubkeyAuthentication yes

Они должны быть в конце файла конфигурации. Прочитайте sshd_configman-страницу для более подробной информации.

Я бы не стал ограничивать аутентификацию Pubkey для вашей локальной сети. Себе бы я даже потребовал pubkey для местных жителей.

Мой план состоит в том, чтобы разрешить паб ключ везде, но также разрешить пароли внутри. Почему бы вам не порекомендовать это? Jarvin 12 лет назад 0
Закрытый ключ хранится в ящике пользователя и не копируется, не передается и не доступен извне по протоколам SSH. При аутентификации по паролю пароль передается (по зашифрованному каналу, да). Кроме того, с агентами pubkey и ssh пароли / парольные фразы вводятся один раз за сеанс, что снижает вероятность ошибочного ввода паролей. Предполагая, что вы доверяете учетным данным в локальной сети, Pubkey можно считать достаточной аутентификацией. Я также использую аутентификацию pubkey (с параметром command = "" в авторизованных ключах) для аудита того, кто входит в общие учетные записи. Arcege 12 лет назад 0
@ Arcege, я думаю, вы неправильно поняли требуемые ограничения - это должно быть «Пароль нет, Pubkey да» для внешних подключений. grawity 12 лет назад 0
Нет, я только что набрал опечатку .. получи это с двумя 5летами, бегающими вокруг ... мои извинения Также необходимо добавить `Host` в строку Match. Arcege 12 лет назад 0
@Dan. Причинами, по которым внутренняя аутентификация на основе паролей не разрешается, заключается в том, что она обеспечивает механизм, позволяющий злоумышленникам угадывать пароли путем атаки методом перебора или словарной атаки. Ваши помещения используются не только доверенными сотрудниками, но и временным уборщиком, рабочими и другими посетителями. Если на одной из существующих компьютеров обнаруживается вирус (или на ноутбуке / планшете / телефоне посетителя имеется троян), это вредоносное ПО теперь находится в среде с более слабой безопасностью и имеет более простую задачу проникновения на другие компьютеры. RedGrittyBrick 12 лет назад 0

Похожие вопросы