ssh: como permitir acesso somente de 1 máquina?

[crixtiano]

Ola, tenho dois PCs aki envolvidos numa dúvida: huguinho, zezinho e luizinho.

Eu configurei para o computador zezinho (PC da minha secretária) p/ aceitar o meu (luizinho) através de autenticação de chaves. Ok, funciona e estou satisfeito.

Porém, se eu for até o computador huguinho (PC do balcão) eu consigo acessar o PC zezinho via ssh e consigo entrar no PC zezinho e ele pede a senha normal do usuario.

Como eu faço para configurar o pc de minha secretaria (zezinho) para aceitar somente e só o meu PC (luizinho) via ssh?

Obrigado.

obs.: uso ubuntu dapper.

[arlei]

Amigo, não estou em meu Ubuntu agora mais no Linux existem 2 arquivos no /etc chamados hosts.allow e hosts.deny. Como o nome esta dissendo um para hosts liberados e outros para hosts bloqueados.

Então faz assim, no arquivo /etc/hosts.deny da maquina zezinho (é isso? eheheh) inclua a linha abaixo trocando o IP de exemplo pelo da maquina que vc não quer que acesse via ssh.

sshd: 192.16.3.69

Não me lembro se vc devera ter que restartar seu serviço de rede para isso passar a valer, mais de qquer forma testa ae.

T+
Arlei

[crixtiano]

oi, obrigado por responder...

mas a sua resposta é totalmente ao contrário da minha pergunta.

eu não quero negar acesso a máquinas A ou B, mas sim permitir acesso a máquinas A ou B, só e somente elas...

Por exemplo, quero que zezinho só e somente só permita que luizinho acesse ele, o resto tudo que seja negado.

Entendeu?

[arlei]

Opsss, foi mal. Devo ter entendido errado.

Estava dando uma lida aqui no manual (man 5 hosts_access) e vi que a coisa funciona da seguinte forma:

ou vc utiliza o hosts.allow ou o hosts.deny para liberar ou bloquear um servico a um determinado host, ou seja, se voce utilizar o hosts.allow ao informar o servico e o IP, este será liberado para esse IP e serviço especificado e negado para todos os demais.
Então tenta isso, em vez de colocar o que te exemplifiquei acima no hosts.deny coloca no hosts.allow.

T+
Arlei

[crixtiano]

ok, mas não funcionou...

adcionei em hosts.allow

sshd: 192.168.0.1 

e mesmo assim o balcao (192.168.0.7) acessa o pc da secretaria (192.168.0.5)

e agora    ?

[arlei]

Amigo,

porque vc não faz dessa forma.
Libera apenas seu usuário para acessar via SSH, ae então apenas vc e quem vc passar seu login poderão acessar a maquina 192.168.0.5 por SSH. Acho que assim até fica mais pratico, porque vc então poderá acessar o micro da sua secretária de qquer outro ponto da sua rede. E no entanto os outros usuários do sistema não teram esse privilégio.

Para fazer isso, basta vc incluir no arquivo /etc/ssh/sshd_config o seguinte:

AllowUsers seu_usuario

Se quiser mais de um usuário, basta colocar do lado deixando um espaço entre eles.
Aproveita e desabilita tbem o acesso do root, editando cfe abaixo:

PermitRootLogin no

Não esqueçe de restartar o serviço sshd após edição deste arquivo.

T+
Arlei

[Felix]

corrijam-me se estou falando besteira, por favor, mas concordo com o Arlei, pois configurar acesso por ip nas náquinas não é muito aconselhável. Exemplo:
Somente Huguinho tem acesso a Luizinho, que não tem acesso a Huguinho, mas que pode acessar Zezinho, que por sua vez acessa Huguinho, mas não pode acessar Luizinho (putz, que lambança)

Estando eu no micro Huguinho eu posso acessar Luizinho por ssh, onde posso abrir uma outra sessão ssh e me conectar a Zezinho, onde posso abrir mais uma sessão e me conectar com Huguinho (onde estou)...

Não se se me fiz entender, compliquei bastante, mas isso é até uma técnica para não deixar pistas em algumas coisas ilícitas... se conectar em diversos servidores, pois quanto mais conexões, mais difícil fica o rastreamento.

Em se tratando de SSH acho recomendável mesmo deixar apenas um usuário com acesso ao servidor para se logar dessa forma (que não seja o root) e não "um micro".

[crixtiano]

Ok Arlei, fiz do jeito q vc falou. Ficou melhor mesmo.

Abraços e obrigado.