Restreindre SSH à une seule interface

10

Comment limiter la demande de connexion SSH entrante à une seule interface? J'utilise Ubuntu Server 10.04 LST.

Je souhaite verrouiller l'accès à SSH à une seule interface, car j'utilise le serveur comme passerelle vers mon réseau domestique. Une interface est connectée au modem / routeur DSL et l'autre est connectée au réseau domestique. Je souhaite uniquement autoriser l'accès au formulaire SSH à l'intérieur du réseau domestique.

La restriction de SSH à une adresse IP dans ce cas est-elle suffisante? Ou dois-je le verrouiller sur une seule interface?

wowpatrick
la source
1
Pouvez-vous être plus clair sur ce que vous entendez par «vers une seule interface»? Voulez-vous dire que la machine possède plusieurs adresses IP et que vous souhaitez que SSH écoute sur une seule adresse IP? Ou voulez-vous dire que vous voulez que les paquets entrants vers le port SSH sur d'autres interfaces soient supprimés? (Votre demande est très inhabituelle et il est possible que vous posiez la mauvaise question.)
David Schwartz
@DavidSchwartz J'ai demandé une restriction d'interface car je ne savais pas si c'était suffisant pour restreindre l'accès SSH à une seule IP. J'ai également complété ma question avec plus de détails.
wowpatrick

Réponses:

12

Dans le fichier suivant:

 /etc/ssh/sshd_config 

Vous verrez une ligne comme:

#ListenAddress 0.0.0.0

Ceci est mis en commentaire, mais c'est la valeur par défaut, pour répertorier toutes les adresses IP pour les requêtes ssh. Vous pouvez modifier cela de sorte que ce soit l'adresse IP de l'interface sur laquelle vous souhaitez accepter les connexions, et que seule cette adresse IP accepte les connexions ssh:

ListenAddress 111.222.111.222

Redémarrez le service sshd une fois modifié.

Paul
la source
4
Cela ne restreindra pas les interfaces sur lesquelles SSH peut fonctionner, seulement l'adresse IP de destination. (C'est peut-être ce que le PO voulait vraiment. Mais ce n'est pas ce que le PO a demandé.)
David Schwartz
@DavidSchwartz merci - pouvez-vous clarifier? Si une adresse IP est liée à une interface, une autre interface peut-elle accepter une connexion avec cette configuration d'une manière ou d'une autre (je suppose que si le transfert a été activé, cela pourrait fonctionner).
Paul
@DavidSchwartz ah, je vois votre commentaire ci-dessus.
Paul
1
Le transfert se réfère uniquement à un paquet reçu sur une interface qui doit être transmis par une autre. Il n'est pas nécessaire d'accepter un paquet reçu sur une interface autre que celle à laquelle son adresse de destination est affectée. Linux utilise un modèle où les adresses IP appartiennent au système, pas aux interfaces - toutes les interfaces connectent un seul hôte.
David Schwartz
2

Essayez d'installer un pare-feu et n'autorisez SSH que sur une seule interface. Mes préférences sont Shorewall qui est un package installable sur Ubuntu. Vous devrez le configurer avant qu'il ne démarre, mais il est bien documenté et fourni avec plusieurs exemples de configurations.

J'utilise un pare-feu principalement fermé avec uniquement les ports requis ouverts. Si tout ce que vous voulez faire est de limiter l'interface SSH est autorisée, vous pouvez utiliser une action REJECT ou DROP pour ssh sur les autres interfaces. Je suggère que si vous construisez un pare-feu, vous limitez au moins l'accès aux interfaces Internet.

BillThor
la source