From: Alexander Yereschenko <ave4600@gmail.com>
To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
Subject: [Sysadmins] SSH вход по ключу и паролю в зависимости от интерфейса
Date: Mon, 7 Dec 2015 20:36:04 +0300
Message-ID: <5665C384.4000203@gmail.com> (raw)
Доброе!
Спросил на форуме
https://forum.altlinux.org/index.php?topic=2659.msg272543#msg272543
Но продублирую и здесь
Хочется странного: на машинке, которая работает и как шлюз в инет, стоит
nx-server. Хочется настроить shhd так, чтобы извне для себя (для
админства) был доступ только по ключу, а из локалки и (самое главное -
тут, как я понял, без вариантов) для nx с локалхоста - по паролю.
Настроил доступ по ключу - работает.
В sshd_config c помощью:
====
ListenAddress 192.168.0.1:22
ListenAddress 127.0.0.1:22
ListenAddress внешний_IP:другой_порт
====
сделал для доступа снаружи нестандартный порт.
По образцу на http://www.opennet.ru/openforum/vsluhforumID10/4945.html
Добавил в sshd_config :
(глобально запрещаем вход по паролю, но с локалки и локалхоста разрешаем)
====
PasswordAuthentication no
.....
Match User user@192.168.0.*
PasswordAuthentication yes
Match User user@127.0.0.1
PasswordAuthentication yes
====
Но почему-то доступ существует только по ключу. Соответственно,
авторизация через nx не работает.
Куда копать? Как осуществить желаемое?
Т.е. стоит задача сделать по-умолчанию доступ только по ключу, но при
этом доступ от localhost должен быть по паролю.
Как я понимаю описания, nx-клиент коннектится к серверу через ssh по
ключу как пользователь nx (это судя по логам проходит), а потом уже
nx-сервер от имени конкретного пользователя (в данном случае user)
коннектится локально через ssh, а вот тут он умеет только по паролю. И
вот это уже и не проходит, так как sshd тупо ждет только ключ, не смотря
на запись Match. Ну и с локалки user тоже не может войти по паролю.
--
Alexander
next reply other threads:[~2015-12-07 17:36 UTC|newest]
Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top
2015-12-07 17:36 Alexander Yereschenko [this message]
2015-12-07 17:57 ` Евгений Терешков
2015-12-08 3:19 ` В.А. Илларионов
2015-12-09 14:59 ` Alexander Yereschenko
2015-12-09 15:16 ` Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=5665C384.4000203@gmail.com \
--to=ave4600@gmail.com \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git