SSH Zugriff unterbinden

UCS - Univention Corporate Server
#1

Hallo Zusammen

Ich habe auf einem UCS 2.4-3 System folgendes Problem.

Und zwar möchte ich den SSH Zugriff für alle User, ausser root und admins, unterbinden, im Univention Wiki habe ich dan die folgenden Variabeln gefunden:
auth/user/services
auth/admin/services
Als den ssh dienst hab ich bei den usern entfernt und bei den Admins hinzugefügt.
Funktioniert auch sauber, Problem ist nun nur, dass ich mich als root auch nichtmehr anmelden kann.
Gibt es eine Möglichkeit dem Root den Zugriff über Variabeln zu erlauben?

Folgend noch die UCR Variabeln:
auth/user/services: chfn chsh kde kscreensaver kcheckpass rsh su sudo passwd cron screen
auth/admin/services: ftp gdm login other ppp rlogin screen ssh
sshd/permitroot: yes

Grüsse
Romanskey

#2

Hallo,

dies kann mit UCS 2.4 durch eine PAM Access-File für den SSH-Dienst erreicht werden. Hierzu ist vorab sicher zu stellen dass SSH auf Challenge response authentication konfigurieren (bei Neuinstallationen mit UCS 2.4 ist dies standard):

 ucr set sshd/challengeresponse=yes sshd/passwordauthentication=no

Anschließend können Sie über die UCR Variable “auth/sshd/accessfile” eine PAM Access-File definieren in der Sie die gewünschten Regeln für die SSH-Anmeldung definieren können, z.B.:

ucr set auth/sshd/accessfile="/etc/security/access-sshd.conf"

Bitte beachten Sie das für die Rechnergruppen “DC Backup Hosts”, “DC Slave Hosts” und “Computers” SSH Zugriff auf den DC-Master benötigen um der Domäne beitreten zu können. Hinweise und Beispiele zur Syntax der access.conf finden Sie in der entsprechenden Man-Page.

Mit UCS 3.0 wurden hier einige weitere Möglichkeiten zur Konfiguration eingeführt. Eine Beschreibung dazu finden Sie im UCS 3.0 Handbuch, Kapitel: Authentifizierung / PAM.

Mit freundlichen Grüßen
Janis Meybohm

#3

Der Link “UCS 3.0 Handbuch, Kapitel: Authentifizierung / PAM” funktioniert nicht…

#4

Vielen Dank für den Hinweis, ich habe den Link korrigiert.

Mit freundlichen Grüßen
Janis Meybohm

#5

Hallo Herr Meybohm

Super vielen Dank für die rasche Antwort. :slight_smile:

Mit freundlichen Grüssen
Romanskey

Mastodon