У меня есть сервер CentOS 5.7 с установленной Zimbra, и все работает нормально.
Я только что обеспечил SSH:
StrictModes
AllowUsers
только 1 пользователю (не zimbra)RSAAuthentication
PubkeyAuthentication
PasswordAuthentication
ChallengeResponseAuthentication
Вышеупомянутое работает для SSH-подключения к серверу в качестве разрешенного пользователя и для подключения к root / sudoing.
Однако, когда я вхожу в свою веб-почту, я больше не могу отправлять / получать сообщения. Угу!
Сделав несколько поисков в Интернете, похоже, что Zimbra внутренне использует ssh, чтобы общаться с другими модулями Zimbra.
Кто-нибудь знает, как это исправить?
Я не могу это проверить, потому что у меня нет тестовой установки Zimbra для работы, но я подозреваю, что добавлю zimbra
user на AllowUsers и установки ssh-порта обратно на 22 должно быть достаточно.
Если вы нервничаете по поводу использования ssh на стандартном порте, возможно, настройте sshd
для прослушивания вашего альтернативного порта, а также порта 22, и используйте iptables
для ограничения доступа к порту 22 только локальным IP-адресом. (Лично я предпочитаю оставить ssh на его стандартном порту и ограничить исходные IP-адреса, но это может быть непрактично, если у вас нет фиксированного исходного IP-адреса.)
Если вы нервничаете из-за того, что zimbra
пользователя в мире, вы можете захотеть изучить pam_access
ограничить IP-адреса zimbra
Пользователь может использовать SSH из.
Тем не менее, у меня есть ощущение, что, согласно перечисленным вами символам, с вашим сервером происходит нечто большее, чем просто нарушенный доступ по SSH. Zimbra не требует ssh для себя для рутинных вещей, таких как отправка электронной почты, а в основном для административных целей. Возможно, вы захотите проверить логи /var/log
и /opt/zimbra/log
.
Я предлагаю вам вернуться к исходной настройке и включить по одной функции за раз.
Главное, что вы можете сделать, - это установить для входа root значение «без пароля», чтобы предотвратить вход в систему с паролем для root (при необходимости разрешив аутентификацию по ключу).
Есть ли в вашей среде аппаратный или внешний брандмауэр для портов ssh? Если это так, вы можете настроить ssh для прослушивания нескольких портов. 22 и 2222, например. Просто ограничьте входящий доступ из мира в альтернативный порт.
Я думаю, что директива AllowUsers может быть частью проблемы. Вы сможете определить это, изучив свои журналы / var / log / secure.
Нет необходимости возвращаться к порту 22 (здесь я использую 1234):
# su - zimbra
$ zmprov ms domain.tld zimbraRemoteManagementPort 1234
$ ssh -vi .ssh/zimbra_identity -o strictHostKeyChecking=no zimbra@domain.tld -p 1234