Linux - статьи

         

Запуск собственного демона ssh на VPN-сервере


Вы вполне можете использовать ваш уже существующий демон ssh на VPN сервере для SSH-соединений внутри VPN. Однако значения конфигураций по умолчанию для SSH слишком либеральны для наших целей, а здоровая паранойя никогда не помешает, поэтому можно запустить на VPN-клиенте отдельный демон.

Все что нам нужно – это создать второй файл sshd_config, в котором указать иной, чем по умолчанию (22) порт и ограничительные опции. Пользователь sshvpn на клиентской машине свяжется теперь с этим демоном. Вот новый файл sshd-config, который мы поместим в /opt/ssh-vpn/etc: Port 9876 PidFile /var/run/sshd_vpn.pid

HostKey /etc/ssh/ssh_host_key HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key

ServerKeyBits 768 LoginGraceTime 600 KeyRegenerationInterval 3600

SyslogFacility AUTH LogLevel INFO

RSAAuthentication yes AllowUsers sshvpn

# Restrictive settings # IgnoreRhosts yes IgnoreUserKnownHosts yes PermitRootLogin no StrictModes yes

PasswordAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no RhostsAuthentication no RhostsRSAAuthentication no X11Forwarding no PrintMotd no KeepAlive yes

При такой конфигурации соединение позволяется только пользователю sshvpn, никакие методы аутентификации кроме идентификаторов SSH не используются, а номер порта устанавливается в 9876. Можно использовать списки контроля доступа (ACL) ядра с командами ipchains/iptables, если хотите ограничить доступ к этому порту. При использовании другого порта вы получаете возможность использовать с демоном ssh для доступа к VPN иные ACL, чем для стандартного доступа по протоколу SSH через порт 22.

Запустить этот демон можно просто выполнив команду /usr/sbin/sshd -f /opt/sshvpn/etc/sshd_config. Также, для запуска этого демона может понадобиться изменить стартовый скрипт для sshd в файле /etc/init.d. Любой VPN-клиент, который захочет соединиться с этим SSH-демоном, должен будет указать новый порт с помощью аргумента команды ssh -p portnum



Содержание раздела







Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий