Categories
Privacy & veiligheid

Root login bij SSH

Normale mensen halen het niet in hun hoofd om root direct in te laten loggen over Internet op een machine en de onderstaande regel staat toch echt in mijn sshd_config. Helaas heeft gisteren iemand weer ondervonden dat je dan nog steeds niet kan binnenkomen ook al zou je het wachtwoord weten.
PermitRootLogin yes
Hoe dit wordt geregeld staat vrij goed in de documentatie van OpenSSH beschreven. Bij OpenSSH kan je op basis van Unix-groepen toegang verlenen, maar een extra laag daarbij is ook dat je kan opgeven dat een gebruiker vanaf een specifiek IP-adres of IP-range moet komen.
AllowUsers root@10.1.2.3 username
AllowGroups sshusers

En in dit voorbeeld moet root in de groep sshusers zitten net zoals gebruiker username, maar de beperking bij root is dat hij alleen vanaf IP-adres 10.1.2.3 mag inloggen. Dit terwijl gebruiker username overal vanaf mag inloggen. Het blijft dus lonen om de documentatie van software te lezen voor handige features.