Можно ли настроить SHH сервер так, чтобы подключение к определенному порту ограничивалось ключами?

Question

[masonchickk]

Добрый день!
Есть SHH сервер за NAT. В sshd_config прописаны два порта 22 и 1111. К SHH из вне перенаправлен порт с внешнего 12345 на стандартный 22. Аутентификация из внешней сети осуществлется через пару ключей с парольной фразой. Необходимо организовать доступ к SHH серверу по порту 1111 из локальной сети, используя пару ключей без парольной фразы. Можно ли ограничить подключение к каждому из портов в зависимости от публичного ключа?

Answer 1

[automatik]

Наиболее простым решением будет запуск двух ssh демонов на разных портах, используя два sshd_config. Только укажите какой кому конфиг использовать через sshd -f.

Answer 2

[rPman]

Разные пользователи! В sshd_config настраиваете требования для каждого, вне зависимости от порта.

Если вам нужен один и тот же пользователь в обоих вариантах использования, в .bashrc прописываете автологин под нужным пользователем

Answer 3

[masonchickk]

Да мне нужно под одним и тем же пользователем. Запуск 2х демонов действительно выглядит проще лично для меня, ибо как не опытный пользователь не знаком с .bashrc. Тогда насколько понимаю под пользователем в домашней папке создаю authorized_keys1 authorized_keys2, и указываю пути и порты в соответствующих sshd_config1 sshd_config2

Comments

[mureevms]

Вы страдаете фигней. Честно. Лучше опишите задачу, которую требуется решить, а не свои размышления по ее решению, тогда можно будет что-то посоветовать. И вообще, для того, кто нагородил такое с портами на сервере, существует отдельный котел в аду

[masonchickk]

Подключаться к серверу под одним пользователем из внешней сети парой ключей с парольной фразой из локальной сети парой ключей без парольной фразы. Лучше не знаю как описать)

[mureevms]

masonchickk, как по мне, нужно нормально настроить доступ к серверу, а не заниматься фигней. Если хотите сделать правильно, просто спросите )

[masonchickk]

Как правильно настроить нормальный доступ к серверу, а не заниматься фигнёй?

[mureevms]

masonchickk, пингуйте по имени пользователя, тогда он увидит ваше сообщение. Я зашел случайно

Как правильно настроить нормальный доступ к серверу, а не заниматься фигнёй?

И это правильный вопрос ))

Из описанного я вижу, что:

Есть SHH сервер за NAT...
К SHH из вне перенаправлен порт с внешнего 12345 на стандартный 22

Вопрос: Надо сделать так, чтобы извне пароль от ключа запрашивался, а с локалки нет. Или же надо разграничить доступ так, чтобы одни пользователи могли заходить извне, а другие нет. Что именно требуется?

Update:
Если первый вариант, то тупо создайте два ключа, один запаролить и отдать тем, кто подключается извне, второй не паролить и оставить в локалке. Только смысла в этом нет, поскольку зная пароль, ключ можно расшифровать и убрать запрос пароля.

[masonchickk]

Всем спасибо за советы!