Kun login via SSH fra bestemte IP adresser

OS.Version og Kerne version?

det er i gruppen server:LinuX:RedHat!

kenp > siden du er så dygtig kan du så ikke lige fortælle mig hvor i kategorien at kerneversionen fremgår?

Kunne man - hvis man altså tankte sig om en lille smule - forstille sig, at der var en årsag til jeg spurgte.

Mon der f.eks. er forskel på en RH6.2/7.3/8.0?

Men som et af de sidste svar jeg tror jeg afgiver her på eksperten, så gør du således.

Jeg mener at vide at jfl benytter RH8.0 og så bruger du kerne 2.4+ og iptables. Prøv noget i denne retning.. 1234 udskiftes med ip nr.

iptables > noget i retning af (utestet)

iptables -A INPUT -s 1.2.3.4 -j ACCEPT tcp --dport 22
iptables -A INPUT -s 1.2.3.4 -j ACCEPT tcp --dport 22
iptables -A INPUT -s 1.2.3.4 -j ACCEPT tcp --dport 22
iptables -A INPUT -s 1.2.3.4 -j ACCEPT tcp --dport 22
iptables -A INPUT j DROP tcp --dport 22

jfl > min kommentar har naturligvis intet med dig at gøre - bare til eksperten's brugere generelt. Har lige haft et par kedelige spørgsmål, der gjorde at lunten er kort :)

Der findes sikkert andre måder at gøre dette på, men jeg mener dette er den mest sikre.

pas umådeligt meget på du ikke lukker for dig selv.. hvis du ikke har mulighed for at teste det mens du er ved maskinen (fysisk) så sig til, så laver jeg et testsetup.

ellers sørg for at have alternativ indgange. f.eks. via webmin eller lignendende hvor du kan logge på via web og aktivere et "undo" script :)

RedHat 7.3
Kernel: den nyeste fra RedHat

hvorfor dit sidste svar?

mener du omkring nogle et "undo" script? Det er fordi hvis du lukker for port22 og du kun har remote adgang til serveren.. og det ikke virker ordentligt, eller noget i den stil´.. så er du fucked :)

Var det det du menste med sidste svar?

ahhh.. ok.. jeg sover.. :) forklaring kommer her:

jeg tror jeg bruger for meget tid på eksperten.dk i forhold til at der er for mange der

1: Ikke lukker deres spørgsmål
2: Afviser korrekte svar.
3: Ikke tænker sig om inden de stiller spørgsmål og oplyser om nødvendige fakta
4: ikke svarer når man spørger om noget info
5: Folk lukker deres spørgsmål og skriver blot "løst"
6. stiller ? og når svaret kommer, så kommer der 4 nye spørgsmål. som f.eks.: http://www.eksperten.dk/spm/301571


Men dråben der fik det til at tippe, har nok været dette her: http://www.eksperten.dk/spm/301801

Hvor du kan se af mit sprog, at der eksploderede jeg sgu :o)

Men det har intet - overhovedet - intet at gøre med denne tråd vil jeg gerne understrege. Trænger nok blot til en lille pause :o)

p.s. de 2 spørgsmål jeg linker til er ikke min normale tone.. men måske et godt eksempel på at jeg må holde en laaang pause :o) Nu må vi se.

For at vende tilbage til dit problem, så er RH7.3 sådan en sjov ting. for den har både ipchains samt iptables installeret på samme tid.. afinstaller ipchains så kan du benytte iptables.. du kan teste på denne måde

# iptables -L

Hvis der kommer en fejl, så er det fordi ipchains skal afinstalleres. ellers bare kør derudaf.

He, he, er det så ille .. det var godt at det ikke var noen av mine spørsmål som hadde havnet på svartelisten (den sorte liste) :-)

Er enig i at noen av de responser som kommer her på experten, har et noe absurd preg over seg, og de spørsmål som stilles like så. Ganske ofte så hevder jo egentlig spørsmålstilleren i realiteten at han i realiteten vet svaret på det spørsmålet han stiller, slik at det slettes ikke behøves flere opplysninger enn det som han selv bestemmer, ut i fra det at det faktisk er han selv som vet svaret.

For eksempel, denne er en klassiker: Hvorfor skal jeg fortelle om hvilken distribusjon og hvilken kernel det dreier seg om når jeg som vet svaret og stiller spørsmålet sier at dette ikke er nødvendig ?

En annen variant er jo også: "Hvorfor skal jeg se på man siden når det er så mye enklere at du gjør det for meg ?"

Det kreves jo ikke noen opptagsprøve for å delta på eksperten, og det medfører jo at det finnes alle typer deltagere fra dem som knapt nok behersker det danske sprog til de mere avanserte brugere.

Dette må nødvendigvis ha sine ulemper men også sine klare fordeler.

Synes eksperten.dk må sies å være et utrolig vellykket konsept der det virkelig er mye aktivitet og der virkelig mange problemstillinger kommer fram.

Tror at man ellers bare må ta en pause når man blir lei, og ellers så kan man vel også tillate seg å være litt egoist ved at man tidevis bare går inn i de problemstillinger man selv synes er interessante. Man kan som kjent ikke veksle eksperten poeng inn i Den Danske Bank.

Det er ellers utrolig mange interessante problemstillinger som kommer fram og man skulle vel ha kjøpt ganske mye hardware dersom man skulle ha rukket gjennom det hele selv. Det kan jo også være minst like fornøyelig å forsøke å tolke loggen til en experten medlem maskin som har blitt hacket, som det å skulle tolke loggen på ens egen maskin, når den har blitt hacket.

En annen morsom variant: Man skriver et langt og grundig svar, og til sist så trykker man enter. I mellomtiden så har enten eksperten.dk gått ned eller man har fått en auto log off, slik at det hele forsvinner i intet.

Spørsmålet:

iptables > noget i retning af (utestet)

iptables -A INPUT -s 1.2.3.4 -j ACCEPT tcp --dport 22
iptables -A INPUT -s 1.2.3.4 -j ACCEPT tcp --dport 22
iptables -A INPUT -s 1.2.3.4 -j ACCEPT tcp --dport 22
iptables -A INPUT -s 1.2.3.4 -j ACCEPT tcp --dport 22
iptables -A INPUT j DROP tcp --dport 22

Etter litt småfiksing på et par små skrivefeil + copy/paste og testkjøring:

iptables -A INPUT -s 192.168.0.2 -j ACCEPT -p tcp --dport 22
iptables -A INPUT -s 192.168.0.2 -j ACCEPT -p tcp --dport 22
iptables -A INPUT -s 192.168.0.2 -j ACCEPT -p tcp --dport 22
iptables -A INPUT -s 192.168.0.2 -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j DROP -p tcp --dport 22

Testkjørt på RH 8.0:

[root@RED8 /]# iptables -L
Chain INPUT (policy ACCEPT)
target    prot opt source              destination
ACCEPT    tcp  --  192.168.0.2          anywhere          tcp dpt:ssh
ACCEPT    tcp  --  192.168.0.2          anywhere          tcp dpt:ssh
ACCEPT    tcp  --  192.168.0.2          anywhere          tcp dpt:ssh
ACCEPT    tcp  --  192.168.0.2          anywhere          tcp dpt:ssh
ACCEPT    tcp  --  192.168.0.2          anywhere          tcp dpt:ssh
ACCEPT    tcp  --  192.168.0.2          anywhere          tcp dpt:ssh
ACCEPT    tcp  --  192.168.0.2          anywhere          tcp dpt:ssh
ACCEPT    tcp  --  192.168.0.2          anywhere          tcp dpt:ssh
DROP      tcp  --  anywhere            anywhere          tcp dpt:ssh

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

langbein > De diskussioner vi har haft, har altid været gode og meget lærerige. Dem har jeg virkelig haft stor glæde af :) Heldigvis har det været således i størstedelen af debatten herinde.

eksperten.dk konceptet er ikke mindre end genialt, og det er kommet for at blive - godt :-)

Måske har jeg bare været lidt uheldig, men jeg synes på det sidste at kvaliteten af debatten i de kategorier som jeg besøger har været jævnt faldende - desværre..

Og så er det nok bedst bare at stoppe - eller i det mindste tage en pause. :o)

Og jeg bærer stor respekt for de fleste herinde - ikke kun de dygtige eksperter, men også dem som prøver at lære, eller gerne vil forsøge at lære. Rigtigt meget har jeg lært herinde.

ps. Langbein: Jeg kan jo iøvrigt takke dig personligt for at du at du fik lært mig grundprincipperne i iptables. Hvis det ikke havde været fordi du gav dig god tid til at forklare mig det på en god pædagogisk måde, så havde jeg nok aldrig lært iptabels ordentligt at kende.

Af dette er jo kommet dette iptables projektet som du kender --> http://freshmeat.net/projects/isg/?topic_id=151 <--- Her er sourcekoden frigivet.

Jeg ved at dette lille projekt glæder rigtigt mange mennersker.. jeg får ofte mails fra over hele verden, fra folk som takker for dette projekt :o)

Så vores iptables snak, har virkelig været nyttig :) Omkring 4500 iptables scripts er genereret fra websiden. (counter står på <2000) men der har ikke været counter på siden fra starten.

Så tusind tak for dette skal du have.

ja jeg havde glemt "-p" swithcen :) - Men jeg skrev det også bare frit for fantasien. Havde ikke testkørt dette, derfor ikke fundet den lille fejl endnu.

Tak for hjælpen langbein.

jfl > Der er ingen tvivl om det er denne metode du skal benytte. Det er klart den allersikreste.

Du kan nemt implementere den ved at smide linierne i /etc/rc.local på din 7.3 boks.

langbein >> "Man skriver et langt og grundig svar, og til sist så trykker man enter. I mellomtiden så har enten eksperten.dk gått ned eller man har fått en auto log off, slik at det hele forsvinner i intet."

Jeg gemme altid det jeg har skrevet ("marker alt" + "ctrl+c") inden jeg trykker "Udfør" - jeg oplever nemlig også tit at der kommer et "Zero sized reply" tilbage og så er det sgu irriterende at have mistet en halv novelle fordi man ikke kan trykke "back" i browseren uden der refreshes..

Tak for hjælpen de herrer :)

Jeg håber i nøjes med at holde en pause, da vi arbejder på løsninger, som skulle motivere de kloge hoveder :)

Jeg har valgt at gøre det således:
I filen /etc/ssh/sshd_config putter jeg
AllowUsers username@host