# SSH Root Login sperren für externen Zugriff



## mintess (25. März 2014)

Hallo,

meine Server haben externe IP Adressen und interne 10er IP Adressen.

Ich möchte den SSH root Zugriff von aussen nur via KeyFile erlauben.

Darum ist gesetzt:


> /etc/ssh/sshd_config:
> PermitRootLogin without-password


Das verhindert jedoch auch den internen root Zugriff von den "internen" 10er IPs. (KeyFile will ich intern nicht hinterlegen, für den Fall das ein Server gekapert wird soll wenigstens noch Passwortschutz bestehen)

Es gibt jetzt noch die /etc/security/access.conf allerdings weiß ich nicht was ich einstellen muss damit mein Vorhaben korrekt läuft.
Es scheitert eigentlich schon an der Einbindung der access.conf - sofern man das tun muss, ich habe irgendwo "account required pam_access.so" gegoogelt das in die sshd_config rein muss, das führt aber nur zum Fehler...

Kann mir jemand bei der korrekten Einstellung helfen?


----------



## rkaerner (26. März 2014)

Du hast offensichtlich Tante google die Frage falsch gestellt.
Bei mir bringt diese Suche jedenfalls im ersten Treffer genau die Antwort, die Du suchst. Und es funktioniert ganz wunderbar, was dort beschrieben steht.

hth
Ralph


----------



## mintess (26. März 2014)

Um genau zu sein beantwortet das nicht meine Frage in der es um root ssh Zugriff geht und nicht den ssh Zugriff allgemein.
Dennoch half der Treffer weiter.

Wens interessiert:
Ich möchte den ssh Zugriff vom WAN via Passwort schon zulassen, nur nicht für root.
In die /etc/ssh/sshd_config muss deshalb rein:

#Jeder darf sich via Pwd authentifizieren
PasswordAuthentication yes
#Root darf man nur via Key Auth
PermitRootLogin without-password

#Nur die Rechner im gleichen Netz dürfen sich auch via Pwd als root anmelden
Match Address 192.168.0.0/16
  PermitRootLogin yes

Match muss am Ende der Datei stehen da es grandioserweise kein Match-End-Tag gibt und alles nach dem Match inbegriffen ist %)


----------

