Discussion:
sshd mit verschiedenen Ports auf verschiedenen Interfaces
(zu alt für eine Antwort)
Jan Novak
2019-10-01 08:48:55 UTC
Permalink
Moin,

kann ich dem SSH Sever sagen, er solle auf eth0 mit port 12345 und auf
tun0 mit Port 22 lauschen?

Beide Ports haben auch feste IP Adressen, ich möchte aber nicht, dass er
auf dem eth0 Device (Internet Anschluss) mit port 22 lauscht.


Jan
Jan Novak
2019-10-01 08:56:33 UTC
Permalink
Post by Jan Novak
Moin,
kann ich dem SSH Sever sagen, er solle auf eth0 mit port 12345 und auf
tun0 mit Port 22 lauschen?
Beide Ports haben auch feste IP Adressen, ich möchte aber nicht, dass er
auf dem eth0 Device (Internet Anschluss) mit port 22 lauscht.
habs gerade mal selbst mit

ListenAddress 10.10.0.18:22
ListenAddress 0.0.0.0:12345

versucht... geht :-)

Jan
Christian Garbs
2019-10-13 17:41:15 UTC
Permalink
Mahlzeit!
Post by Jan Novak
Post by Jan Novak
kann ich dem SSH Sever sagen, er solle auf eth0 mit port 12345 und auf
tun0 mit Port 22 lauschen?
[…]
Post by Jan Novak
ListenAddress 10.10.0.18:22
ListenAddress 0.0.0.0:12345
versucht... geht :-)
Danke, prima Inspiration!
Ich habe hier seit Jahren 2 sshds laufen, weil sich Konfiguration für
externes und internes Netz minimal unterscheiden. Das ist total doof.

Mit Deiner Variante sind 50% meiner Probleme gelöst.

Es verbleibt "ChallengeResponseAuthentication" im sshd:
Kann ich die Option irgendwie für "von extern" aktivieren (2FA mit
Oath), für "von intern" aber auslasssen?

Gruß
Christian
--
....Christian.Garbs....................................https://www.cgarbs.de
Was Lacostet die Welt?
Das spielt doch keine Rolex!
Thomas Noll
2019-10-15 18:15:41 UTC
Permalink
Post by Christian Garbs
Kann ich die Option irgendwie für "von extern" aktivieren (2FA mit
Oath), für "von intern" aber auslasssen?
Die Anforderung ist jetzt nicht so ganz eindeutig,
aber lässt sich das nicht mit MATCH abdecken?
Christian Weisgerber
2019-10-15 19:50:52 UTC
Permalink
Post by Thomas Noll
Post by Christian Garbs
Kann ich die Option irgendwie für "von extern" aktivieren (2FA mit
Oath), für "von intern" aber auslasssen?
Die Anforderung ist jetzt nicht so ganz eindeutig,
aber lässt sich das nicht mit MATCH abdecken?
ChallengeResponseAuthentication ist in einem Match-Block nicht
verfügbar. Ist auch in sshd_config(5) bei Match so dokumentiert.
--
Christian "naddy" Weisgerber ***@mips.inka.de
Thomas Noll
2019-10-16 19:09:58 UTC
Permalink
Post by Christian Weisgerber
Post by Thomas Noll
Post by Christian Garbs
Kann ich die Option irgendwie für "von extern" aktivieren (2FA mit
Oath), für "von intern" aber auslasssen?
Die Anforderung ist jetzt nicht so ganz eindeutig,
aber lässt sich das nicht mit MATCH abdecken?
ChallengeResponseAuthentication ist in einem Match-Block nicht
verfügbar. Ist auch in sshd_config(5) bei Match so dokumentiert.
Aber AuthenticationMethods ohne keyboard-interactive sollte für das
interne Netz
doch tun, was du willst?


Oder auch einfach "KbdInteractiveAuthentication no"?
Christian Garbs
2019-10-24 21:54:33 UTC
Permalink
Mahlzeit!
Post by Thomas Noll
Post by Christian Weisgerber
Post by Thomas Noll
Post by Christian Garbs
Kann ich die Option irgendwie für "von extern" aktivieren (2FA mit
Oath), für "von intern" aber auslasssen?
Die Anforderung ist jetzt nicht so ganz eindeutig,
aber lässt sich das nicht mit MATCH abdecken?
ChallengeResponseAuthentication ist in einem Match-Block nicht
verfügbar. Ist auch in sshd_config(5) bei Match so dokumentiert.
Aber AuthenticationMethods ohne keyboard-interactive sollte für das
interne Netz doch tun, was du willst?
Match kannte ich noch nicht - ich werde das mal ausprobieren und bereichten.

Danke!
Christian
--
....Christian.Garbs....................................https://www.cgarbs.de
"Peters Prinzip": Man steigt solange auf, bis man eine
Position hat, in der man inkompetent ist.
Ergebnis: Die meisten Positionen sind inkompetent besetzt.
Loading...