কেবলমাত্র অভ্যন্তরীণ নেটওয়ার্ক থেকে এসএসএইচ সার্ভারে পাসওয়ার্ড প্রমাণীকরণের অনুমতি দিন

22

আমার একটি ওপেনএসএইচ 5.9p1 সার্ভার রয়েছে যা উবুন্টু যথাযথ 12.04 এ চলছে যা অভ্যন্তরীণ নেটওয়ার্ক এবং ইন্টারনেট উভয় থেকে সংযোগ গ্রহণ করে। আমি ইন্টারনেট থেকে সংযোগগুলির জন্য সর্বজনীন কী প্রমাণীকরণের প্রয়োজন চাই, তবে অভ্যন্তরীণ নেটওয়ার্ক থেকে সংযোগের জন্য পাবলিক কী বা পাসওয়ার্ড প্রমাণীকরণ গ্রহণ করুন। এটিকে বাস্তবায়নের জন্য আমি কী ওপেনএসএইচ কনফিগার করতে পারি?

linux  security  ssh  ssh-keys 
mgorven
সূত্র

উত্তর:

34

Matchমধ্যে ডিরেক্টিভের /etc/ssh/sshd_configআপনি বেছে বেছে কনফিগারেশন নির্দেশনা আবেদন করতে পারেন। উপলভ্য ম্যাচের মানদণ্ডগুলির মধ্যে একটি হ'ল সংযোগের উত্স ঠিকানা এবং তাই এটি যা চান তা বাস্তবায়নের জন্য ব্যবহার করা যেতে পারে। আপনি ডিফল্টরূপে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করতে পারেন এবং তারপরে এটি অভ্যন্তরীণ নেটওয়ার্কের আইপি রেঞ্জগুলি থেকে সংযোগের জন্য সক্ষম করতে পারেন। (নোট করুন যে ChallengeResponseAuthenticationপাসওয়ার্ডগুলি ব্যবহার করা রোধ করার জন্য আপনি অক্ষম করতে চান )) এই উদাহরণটি সমস্ত আরএফসি 1918 ব্যক্তিগত আইপি রেঞ্জের পাসওয়ার্ড প্রমাণীকরণের অনুমতি দেয়। আরও তথ্যের জন্য sshd_config ম্যানপেজ দেখুন ।

PasswordAuthentication no
ChallengeResponseAuthentication no

Match Address 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
    PasswordAuthentication yes

নোট করুন ফাইলের শেষে ম্যাচ ব্লক যুক্ত করা উচিত অন্যথায় এটি অনুসরণকারী সমস্ত কিছুই পরবর্তী ম্যাচ ব্লক পর্যন্ত মিলবে। ম্যাচ ব্লকের খারাপ অবস্থান সংযোগ করতে অক্ষম হতে পারে।

mgorven
সূত্র
3
দয়া করে নোট করুন: আপনি যদি এই কাজটি করেন এবং উপরের কনফিগার (অভ্যন্তরীণ হোস্ট) সহ কোনও প্রকাশ্যে অ্যাক্সেসযোগ্য মেশিন (জামফোস্ট) থেকে এসএসএইচ ফরোয়ার্ড করেন তবে আপনি এখনও আক্রমণের জন্য নিজেকে উন্মুক্ত করতে পারেন কারণ জাম্পস্টারের উত্স আইপি একটি আরএফসি 1918 ঠিকানা হবে এবং আপনার অভ্যন্তরীণ হোস্টে পাসওয়ার্ড প্রমাণীকরণের অনুমতি দিন।
c4ursल्फ
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.