SSH Zugriffe der Server untereinander

Hallo allerseits,

wir setzen bei uns einen Jumphost für die SSH Zugriffe auf alle Server ein.

Kurze Eckdaten zu Konfiguration:

  • Der Zugriff per SSH ist per Firewall nur vom Jumphost aus möglich
  • Die SSH Konfiguration wird angepasst, so dass …
    … Pubkey und Password Auth generell nicht erlaubt sind
    … der Rootlogin nur vom Jumphost mit Pubkey erlaubt ist (Match Section)
    … der User Login nur für Domänen Admins über den Jumphost mit Pubkey erlaubt ist (Match Section)

Bei nicht UCS Systemen ist das soweit auch kein Problem aber die UCS Systeme greifen ja untereinander per SSH zu.

Ausgangslage sind ein UCS Master DC ein Backup DC und mehrere Member Server.
Leider finde ich keine Dokumentation über die Zugriffe der UCS Systeme untereinander.
Kann mir jemand dazu nähere Informationen geben?

Dann habe ich noch gesehen, dass auf den UCS Systemen auth/sshd/restrict aktiviert ist.

Ausgabe vom DC Master:

# ucr search auth/sshd
auth/sshd/group/Administratoren: yes
auth/sshd/group/Administrators: yes
auth/sshd/group/Computers: yes
auth/sshd/group/DC Backup Hosts: yes
auth/sshd/group/DC Slave Hosts: yes
auth/sshd/group/Domain Admins: yes
auth/sshd/group/Domänen-Admins: yes
auth/sshd/group/Domänencontroller: yes
auth/sshd/restrict: yes
auth/sshd/user/root: no

Ausgabe von einem Memberserver:

# ucr search auth/sshd
auth/sshd/group/Administratoren: yes
auth/sshd/group/DC Backup Hosts: yes
auth/sshd/group/DC Slave Hosts: yes
auth/sshd/group/Domänen-Admins: yes
auth/sshd/group/Domänencontroller: yes
auth/sshd/restrict: yes
auth/sshd/user/root: no

Wenn ich das also richtig verstehe, dann ist der root login generell abgestellt und es dürfen sich nur die obigen Gruppen anmelden.

Das ist natürlich für mein Vorhaben ein Problem.
Ändern lässt sich auth/sshd/user/root auch nicht:

# ucr set auth/sshd/user/root=yes
Setting auth/sshd/user/root
W: auth/sshd/user/root is overridden by scope "ldap"
File: /etc/security/access-sshd.conf

Der Jumphost selbst sollte sich aber als root anmelden können um bestimmte aufgaben umzusetzen.
Sonst müsste ich einen extra User Account anlegen und alle Skripte auf sudo umbauen.
Gibt es Ideen hierzu außer sudo?

Danke.

Das heißt ihr müßtet da eine Richtlinie über die UMC anpassen. Dann klappts auch mit dem root-Login.

1 Like