Subdomain only für SSH

  • Hallo zusammen,


    ich wollte fragen, wie ich mehrere Subdomain am leichtesten für SSH deaktivieren kann.

    Aktuell habe ich 3 Subdomains auf mein Server geleitet.


    Einstellung Domain:

    Wert Typ Ziel

    files A ServerIP

    upload A ServerIP

    server A ServerIP


    /etc/Hosts

    ServerIP files.domain.de

    ServerIP upload.domain.de

    ServerIP server.domain.de


    Ziel ist es files&upload per SSH zu deaktivieren und nur über server.domain.de sich per SSH zuverbinden.


    Google gab leider nix gescheites aus, vielen Dank vorab!

  • Nicht möglich. Wie schon erwähnt wird dem SSH-Server die Domain nicht mitgeteilt. Dein SSH-Client löst den Namen zur IP auf.

    Anders als bei zb Apache VHosts hat der Server also keine Möglichkeit, zu erkennen welche Domain aufgelöst wurde.

    Wenn du nichts gegen die Nutzung von IPv6 hast, könntest du dir verschiedene Adressen in deinem Subnetz anlegen.

    Grundsätzlich solltest du aber SSH-Verbindungen eh nur per Key erlauben, am besten noch beschränkt via Firewall. Dann kann dir eigentlich egal sein, dass die Adresse öffentlich ist.


    Lg

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Theorethisch hättest Du bei Verwendung von IPv6 die Mglkt., indem Du z.B. eine Subdomain auf eine bestimmte IPv6 zeigen läßt und

    die Firewall so einstellst, daß Port 22 Anfragen nur auf diesr einen IPv6 akzepitert werden;

    und mit raten der IPv6 kann es bei hinreichender Wahl etwas schwierig werden

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Dann ist es nicht so möglich wie Gedacht, ich danke trotzdem

    Eine weitere Möglichkeit, die nicht so wie gedacht funktioniert, wäre die, SSH auf einen Nicht-Standard-Port zu verlegen und diesen Port nur den Nutzungsberechtigten mitzuteilen.


    Eine weitere Idee könnte ein Proxy sein, der den Hostnamen verarbeitet.

    Der Webserver Nginx ist zwar dafür nicht ausgelegt, aber man könnte ihn als Trigger verwenden.

    https://stackoverflow.com/ques…ginx-as-tcp-forward-proxy


    Wenn also jemand eine Verbindung auf den Hostnamen mit dem Port versucht, wird die Firewall angepasst, um die Verbindung durchzulassen.

  • eine weitere Variante wo es tatsächlich via HTTP(S) geht - im EPEL (CentOS) - gibt es ein Paket shellinabox,

    und hier gelten die "Gesetze" von Apache, ..., sprich ist der SSH Zugriff eigentlich im Browser

    verwendet man dies, und deaktiviert den "echten" SSH-Zugriff, dann sind dann auch Dinge wie Datentransfer mittels z.B. WinSCP

    ebenfalls nicht mehr möglich ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Naja, nen PW tuts auch, Keys finde ich persönlich immer eher unpraktisch, nutze ich nur bei Server - Server Verbindungen.


    Hab bei allen RS und VPS nen 30-40stelliges randomisiertes PW und dazu Fail2Ban mit 5 Versuchen und 48h Ban... Reicht für mich mehr als aus ??

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Naja, nen PW tuts auch, Keys finde ich persönlich immer eher unpraktisch, nutze ich nur bei Server - Server Verbindungen.


    Hab bei allen RS und VPS nen 30-40stelliges randomisiertes PW und dazu Fail2Ban mit 5 Versuchen und 48h Ban... Reicht für mich mehr als aus ??

    Genau, so ist es. Bei mir ist zusätzlich mittels Google Auth abgesichert. Ich finde die SSH Keys auch etwas umständlich.

  • Naja, nen PW tuts auch, Keys finde ich persönlich immer eher unpraktisch, nutze ich nur bei Server - Server Verbindungen.

    Mittlerweile scheint SSSD die Keyfiles auch aus dem LDAP Server beziehen zu können.

    Überlege noch stark, ob ich das bei mir ausrolle.

  • Wie könnt ihr euch denn 40 stellige zufällige Passwörter merken? :|


    Oder nutzt ihr einen PW-Manager? Wo seht ihr da die Vorteile gegenüber einem Key?


    Sorry, will keinen Glaubenskrieg starten, interessiert mich einfach nur :)

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Mittlerweile scheint SSSD die Keyfiles auch aus dem LDAP Server beziehen zu können.

    Überlege noch stark, ob ich das bei mir ausrolle.

    Da ich die Kisten hier fast ausschließlich privat nutze, überwiegt bei mir ganz klar die Faulheit. Einfach mal unterwegs via JuiceSSH connecten, oder manuell mit PW Input via. Bitwarden.


    Aus dem Grund ist bei mir damals auch Port Knocking rausgeflogen. Klar hat vieles seine Vorteile, schränkt aber halt auch ein. Dafür extra nen LDAP Server,... Für mich aktuell Overkill. ?

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Aus dem Grund ist bei mir damals auch Port Knocking rausgeflogen. Klar hat vieles seine Vorteile, schränkt aber halt auch ein.

    fwknop als bessere Alternative ist da gerade am (Android) Smartphone praktisch. Das kann bei Bedarf z.B. OpenVPN oder einen SSH-Client starten. Währenddessen erneuert es den offenen Port alle x Minuten, damit man bei einem Verbindungsabbruch nicht manuell tätig werden muss. Letzteres ist vor allem bei OpenVPN sehr angenehm, wenn das Mobilfunknetz oder die Internetverbindung kurz weg ist.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • fwknop als bessere Alternative ist da gerade am (Android) Smartphone praktisch. Das kann bei Bedarf z.B. OpenVPN oder einen SSH-Client starten. Währenddessen erneuert es den offenen Port alle x Minuten, damit man bei einem Verbindungsabbruch nicht manuell tätig werden muss. Letzteres ist vor allem bei OpenVPN sehr angenehm, wenn das Mobilfunknetz oder die Internetverbindung kurz weg ist.

    Danke für die Empfehlung. Werde ich mir def. mal angucken wenn ich wieder mehr Zeit habe!

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Naja, nen PW tuts auch, Keys finde ich persönlich immer eher unpraktisch, nutze ich nur bei Server - Server Verbindungen.


    Hab bei allen RS und VPS nen 30-40stelliges randomisiertes PW und dazu Fail2Ban mit 5 Versuchen und 48h Ban... Reicht für mich mehr als aus ??

    Mein ssh-ed25519 Key hat 68 Zeichen. :D


    Ich würde nie, nie Passwort Auth aktivieren, gibt schlicht keinen Grund dafür. Mit SSH Agent ForwardIng ist Passwort der umständliche Weg, Und auch alleine schon um "ChallengeResponseAuthentication" und "PAM" deaktivieren zu können.


    Wenn dir jemand eine Kiste aufmacht, egal wie, und Passwort Auth war an, das bekommste dann nichtmehr erklärt.


    Wie hoch ist die Findtime von Fail2Ban? Also wielange darf man auf SSH einprügeln?

  • Wie könnt ihr euch denn 40 stellige zufällige Passwörter merken? :|

    Als ich noch sehr jung war und am Support gearbeitet habe, konnte ich nachts die Cleartext-Passwörter der Kunden auswendig aufsagen. Ich hatte immer schon ernsthafte Probleme ;) Zum Glück wird man älter...


    Ich frage mich, man mit socat auch etwas einfacheres hinbekommt... wohl eher nicht, aber irgendwer hat sicher ...

  • findetime liegt bei 120sec, wobei es ja eher um die maxtries geht.


    Damals (dürfte zu Qnet Zeiten gewesen sein) hatte ich nicht mal fail2ban oder dergleichen laufen, sondern bei zu vielen loginfails gab's nen DDOS aus einem der größeren Botnetze auf die jeweilige IP - haha. Aber das wäre heutzutage wohl nicht mehr machbar, zumindest nicht legal ??

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...