<br><tt><font size=2>Marco Passerini <marco.passerini@csc.fi> wrote
on 18/05/2011 14:55:20:<br>
<br>
> Ah in addition to this, I remembered the reason why I chose to use
SU <br>
> authentication (I have short memory and I was setting up the box a
while <br>
> ago ;D ):<br>
> <br>
> I wanted to restrict the users which are able to login with SSH, and
I <br>
> did it by adding the following line to /etc/ssh/sshd_config :<br>
> AllowGroups sshadm<br>
> <br>
> And the following user group:<br>
> sshadm:x:901:myusername,nx<br>
</font></tt>
<br><tt><font size=2>Hmmm, see below . . . </font></tt>
<br>
<br><tt><font size=2>> <br>
> This setup breaks in case of SSH authentication within NX, it only
works <br>
> with SU.<br>
> <br>
> On 05/18/2011 03:58 PM, Marco Passerini wrote:<br>
> > The idea of a second sshd on the internal network sounds good!<br>
</font></tt>
<br><tt><font size=2>I didn't explain very well . . . . . </font></tt>
<br>
<br><tt><font size=2>I have an sshd listening on external interface(s)
on port (say) 100 with</font></tt>
<br><tt><font size=2>authentication only</font></tt>
<br><tt><font size=2>PubkeyAutentication yes</font></tt>
<br><tt><font size=2>and two users,</font></tt>
<br><tt><font size=2>AllowUsers me-myself-I nx</font></tt>
<br>
<br><tt><font size=2>and</font></tt>
<br>
<br><tt><font size=2>another sshd listening on port 22 on 127.0.0.1 only
with</font></tt>
<br><tt><font size=2>PasswordAuthentication yes</font></tt>
<br><tt><font size=2>and</font></tt>
<br><tt><font size=2>AllowGroups nxuserbase</font></tt>
<br>
<br>
<br><tt><font size=2>> ><br>
> > I configured Fail2ban to block the brute forces on SSH but also
those<br>
> > users who know the shared  key and try to brute force NX
with that.<br>
> ><br>
> > /etc/fail2ban/jail.conf contains the following entry:<br>
> ><br>
> > [freenx-tcpwrapper]<br>
> > enabled     = true<br>
> > filter      = freenx<br>
> > action      = hostsdeny<br>
> > sendmail-whois[name=FreeNX, sender=hostemail@email.com,<br>
> > dest=myemail@email.com]<br>
> > logpath     = /var/log/messages<br>
> ><br>
> ><br>
> > Then I created a file /etc/fail2ban/filter.d/freenx.conf<br>
> > [INCLUDES]<br>
> > before = common.conf<br>
> > [Definition]<br>
> > _daemon = nxserver<br>
> > failregex = ^.*\(nx\) Failed login for user=(.*) from IP=<HOST>\s*<br>
> > ignoreregex =<br>
</font></tt>
<br><tt><font size=2>I see how you can block an IP address if there are
a number of</font></tt>
<br><tt><font size=2>password attempts . . .</font></tt>
<br>
<br><tt><font size=2>I also see how this can lock out the NAT Router external
IP</font></tt>
<br><tt><font size=2>from your remote site(s).</font></tt>
<br>
<br><tt><font size=2>I'm not sure how fail2ban stops a user, but surely
they are locked</font></tt>
<br><tt><font size=2>out by password policy anyway ??</font></tt>
<br>