

<br><tt><font size=2>Marco Passerini <marco.passerini@csc.fi> wrote

on 18/05/2011 14:55:20:<br>

<br>

> Ah in addition to this, I remembered the reason why I chose to use

SU <br>

> authentication (I have short memory and I was setting up the box a

while <br>

> ago ;D ):<br>

> <br>

> I wanted to restrict the users which are able to login with SSH, and

I <br>

> did it by adding the following line to /etc/ssh/sshd_config :<br>

> AllowGroups sshadm<br>

> <br>

> And the following user group:<br>

> sshadm:x:901:myusername,nx<br>

</font></tt>

<br><tt><font size=2>Hmmm, see below . . . </font></tt>

<br>

<br><tt><font size=2>> <br>

> This setup breaks in case of SSH authentication within NX, it only

works <br>

> with SU.<br>

> <br>

> On 05/18/2011 03:58 PM, Marco Passerini wrote:<br>

> > The idea of a second sshd on the internal network sounds good!<br>

</font></tt>

<br><tt><font size=2>I didn't explain very well . . . . . </font></tt>

<br>

<br><tt><font size=2>I have an sshd listening on external interface(s)

on port (say) 100 with</font></tt>

<br><tt><font size=2>authentication only</font></tt>

<br><tt><font size=2>PubkeyAutentication yes</font></tt>

<br><tt><font size=2>and two users,</font></tt>

<br><tt><font size=2>AllowUsers me-myself-I nx</font></tt>

<br>

<br><tt><font size=2>and</font></tt>

<br>

<br><tt><font size=2>another sshd listening on port 22 on 127.0.0.1 only

with</font></tt>

<br><tt><font size=2>PasswordAuthentication yes</font></tt>

<br><tt><font size=2>and</font></tt>

<br><tt><font size=2>AllowGroups nxuserbase</font></tt>

<br>

<br>

<br><tt><font size=2>> ><br>

> > I configured Fail2ban to block the brute forces on SSH but also

those<br>

> > users who know the shared  key and try to brute force NX

with that.<br>

> ><br>

> > /etc/fail2ban/jail.conf contains the following entry:<br>

> ><br>

> > [freenx-tcpwrapper]<br>

> > enabled     = true<br>

> > filter      = freenx<br>

> > action      = hostsdeny<br>

> > sendmail-whois[name=FreeNX, sender=hostemail@email.com,<br>

> > dest=myemail@email.com]<br>

> > logpath     = /var/log/messages<br>

> ><br>

> ><br>

> > Then I created a file /etc/fail2ban/filter.d/freenx.conf<br>

> > [INCLUDES]<br>

> > before = common.conf<br>

> > [Definition]<br>

> > _daemon = nxserver<br>

> > failregex = ^.*\(nx\) Failed login for user=(.*) from IP=<HOST>\s*<br>

> > ignoreregex =<br>

</font></tt>

<br><tt><font size=2>I see how you can block an IP address if there are

a number of</font></tt>

<br><tt><font size=2>password attempts . . .</font></tt>

<br>

<br><tt><font size=2>I also see how this can lock out the NAT Router external

IP</font></tt>

<br><tt><font size=2>from your remote site(s).</font></tt>

<br>

<br><tt><font size=2>I'm not sure how fail2ban stops a user, but surely

they are locked</font></tt>

<br><tt><font size=2>out by password policy anyway ??</font></tt>

<br>