Ho un server OpenSSH 5.9p1 in esecuzione su Ubuntu Precise 12.04 che accetta connessioni sia dalla rete interna che da Internet. Vorrei richiedere l'autenticazione con chiave pubblica per le connessioni da Internet, ma accettare l'autenticazione con chiave pubblica o password per le connessioni dalla rete interna. Posso configurare OpenSSH per implementarlo?
Risposte:
La Matchdirettiva in /etc/ssh/sshd_configconsente di applicare in modo selettivo le direttive di configurazione. Uno dei criteri di corrispondenza disponibili è l'indirizzo di origine della connessione, quindi può essere utilizzato per implementare ciò che desideri. È possibile disabilitare l'autenticazione della password per impostazione predefinita e quindi abilitarla per le connessioni dagli intervalli IP della rete interna. (Si noti che si desidera disabilitare anche ChallengeResponseAuthenticationper impedire l'utilizzo delle password.) Questo esempio consente l'autenticazione con password da tutti gli intervalli IP privati RFC1918. Vedi la manpage sshd_config per maggiori dettagli.
PasswordAuthentication no
ChallengeResponseAuthentication no
Match Address 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
PasswordAuthentication yes
Si noti che il blocco Match deve essere aggiunto alla fine del file, altrimenti tutto ciò che lo segue verrà abbinato fino al successivo blocco Match. Il posizionamento errato del blocco Match potrebbe causare l'impossibilità di connettersi.