[gentoo-user-fr] Restriction ssh sur un sous domaine

Le
gwenhael
Bonjour,
Je souhaiterais savoir s'il est possible et si oui comment faire pour
pouvoir sur un serveur unique pouvoir autoriser les connections ssh uniquem=
ent
si l'adresse est monSousDomaine.monDomaine.tld.
Sachant que la machine gère avec une seule adresse ip le domaine
et tous les sous-domaines.
Merci d'avance
Gwenhaël

-
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
gentoo-user-fr@lists.gentoo.org mailing list
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Frenk
Le #7800891
Salut,

utilise le fichier /etc/hosts.allow

tu place ceci dedans :

sshd : monSousDomaine.monDomaine.tld : allow
sshd : ALL : deny



gwenhael a écrit :
Bonjour,
Je souhaiterais savoir s'il est possible et si oui comment faire pour
pouvoir sur un serveur unique pouvoir autoriser les connections ssh uniquement
si l'adresse est monSousDomaine.monDomaine.tld.
Sachant que la machine gère avec une seule adresse ip le domaine
et tous les sous-domaines.
Merci d'avance
Gwenhaël

-------
http://www.trabucayre.com
Arsenic et vieilles ferailles




--
mailing list
gwenhael
Le #7800881
Salut,
Je viens de tester mais j'arrive pas a faire refuser...
J'ai bien mis les informations dans le fichier mais sans résultat.
A+
Gwen


On Sat, 16 Feb 2008 23:25:54 +0100
Frenk
Salut,

utilise le fichier /etc/hosts.allow

tu place ceci dedans :

sshd : monSousDomaine.monDomaine.tld : allow
sshd : ALL : deny



gwenhael a écrit :
> Bonjour,
> Je souhaiterais savoir s'il est possible et si oui comment faire pour
> pouvoir sur un serveur unique pouvoir autoriser les connections ssh uni quement
> si l'adresse est monSousDomaine.monDomaine.tld.
> Sachant que la machine gère avec une seule adresse ip le domaine
> et tous les sous-domaines.
> Merci d'avance
> Gwenhaël
>
> -------
> http://www.trabucayre.com
> Arsenic et vieilles ferailles
>

--
mailing list






-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
mailing list
gwenhael
Le #7800871
En regardant la doc si j'ai bien compris hosts.* permettent d'interdire des connections.
Ce que je cherche à faire c'est au contraire de fermer ssh si l'adresse n 'est pas la bonne.
En clair
ssh --> ca marche
ssh --> pas de réponse.
Donc je ne limite pas l'origine du client mais je limite les adresses qui r épondront.
a+
Gwen

On Sun, 17 Feb 2008 09:48:42 +0100
gwenhael
Salut,
Je viens de tester mais j'arrive pas a faire refuser...
J'ai bien mis les informations dans le fichier mais sans résultat.
A+
Gwen


On Sat, 16 Feb 2008 23:25:54 +0100
Frenk
> Salut,
>
> utilise le fichier /etc/hosts.allow
>
> tu place ceci dedans :
>
> sshd : monSousDomaine.monDomaine.tld : allow
> sshd : ALL : deny
>
>
>
> gwenhael a écrit :
> > Bonjour,
> > Je souhaiterais savoir s'il est possible et si oui comment faire pour
> > pouvoir sur un serveur unique pouvoir autoriser les connections ssh u niquement
> > si l'adresse est monSousDomaine.monDomaine.tld.
> > Sachant que la machine gère avec une seule adresse ip le domaine
> > et tous les sous-domaines.
> > Merci d'avance
> > Gwenhaël
> >
> > -------
> > http://www.trabucayre.com
> > Arsenic et vieilles ferailles
> >
>
> --
> mailing list
>
>


-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
mailing list






-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
mailing list
Guillaume BOUERAT
Le #7800861
iop,

tu dois pouvoir faire ça avec iptables en bloquant l'acces au port
22 (si c'est bien ton port ssh) à tout le monde sauf au domaine concerné...


--
mailing list
Frenk
Le #7800851
gwenhael a écrit :
En regardant la doc si j'ai bien compris hosts.* permettent d'interdire des connections.



A l'origine tu à hosts.allow et hosts.deny, mais hosts.deny n'est plus
utiliser.
Ce que je cherche à faire c'est au contraire de fermer ssh si l'adresse n'est pas la bonne.
En clair
ssh --> ca marche
ssh --> pas de réponse.



C'est exactement ce que je fait avec mon sshd.

sshd : .monSousDomaine.mondomaine.tld : allow #j'autorise mon sous
domaine ne pas oublier de commencer par un dot pour un sous domaine.

sshd : ALL : deny #je refuse tout les autres.

Pour moi ça fonctionne, vérifie que sys-apps/tcp-wrappers et bien installer


Donc je ne limite pas l'origine du client mais je limite les adresses qui répondront.
a+
Gwen

On Sun, 17 Feb 2008 09:48:42 +0100
gwenhael

Salut,
Je viens de tester mais j'arrive pas a faire refuser...
J'ai bien mis les informations dans le fichier mais sans résultat.
A+
Gwen


On Sat, 16 Feb 2008 23:25:54 +0100
Frenk

Salut,

utilise le fichier /etc/hosts.allow

tu place ceci dedans :

sshd : monSousDomaine.monDomaine.tld : allow
sshd : ALL : deny



gwenhael a écrit :

Bonjour,
Je souhaiterais savoir s'il est possible et si oui comment faire pour
pouvoir sur un serveur unique pouvoir autoriser les connections ssh uniquement
si l'adresse est monSousDomaine.monDomaine.tld.
Sachant que la machine gère avec une seule adresse ip le domaine
et tous les sous-domaines.
Merci d'avance
Gwenhaël

-------
http://www.trabucayre.com
Arsenic et vieilles ferailles




--
mailing list





-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
mailing list







-------
http://www.trabucayre.com
Arsenic et vieilles ferailles




--
mailing list
gwenhael
Le #7800841
Bonjour,
Le problème est que je ne souhaite pas bloquer les connections de personn es qui ne font pas parties d'un domaine particulier.
Pour être plus clair avec apache, j'ai configuré l'accés à phpmyadm in
sur un virtualHost correspondant à UnSousDom.monDomaine.tld,
Ainsi si je fais UnSousDom.monDomaine.tld/phpmyadmin dans mon navigateur j' y ai accès.
Mais si je fais www.monDomaine.tld/phpmyadmin j'ai un 404 parce qu'il n'est pas accessible.
Je cherche à faire exactement la même chose pour ssh (entre autre).
Ainsi où que je sois si je me connecte en ssh avec le bon sousDomaine.dom aine.tld ca roule sinon ca marche pas
a+
Gwen

On Sun, 17 Feb 2008 11:40:03 +0100
Guillaume BOUERAT
iop,

tu dois pouvoir faire ça avec iptables en bloquant l'acces au port
22 (si c'est bien ton port ssh) à tout le monde sauf au domaine concer né...


--
mailing list






-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
mailing list
Cédric Godin
Le #7800831
gwenhael wrote:
En regardant la doc si j'ai bien compris hosts.* permettent d'interdire des connections.
Ce que je cherche à faire c'est au contraire de fermer ssh si l'adresse n'est pas la bonne.
En clair
ssh --> ca marche
ssh --> pas de réponse.
Donc je ne limite pas l'origine du client mais je limite les adresses qui répondront.
a+
Gwen

On Sun, 17 Feb 2008 09:48:42 +0100
gwenhael



Si ssdom.dom.tld et dom.tld n'ont pas la même IP, utiliser ListenAddress
et spécifier les IP qui peuvent être jointes ?
--
mailing list
gwenhael
Le #7800821
On Sun, 17 Feb 2008 14:40:14 +0100
Cédric Godin
gwenhael wrote:
> En regardant la doc si j'ai bien compris hosts.* permettent d'interdire des connections.
> Ce que je cherche à faire c'est au contraire de fermer ssh si l'adres se n'est pas la bonne.
> En clair
> ssh --> ca marche
> ssh --> pas de réponse.
> Donc je ne limite pas l'origine du client mais je limite les adresses q ui répondront.
> a+
> Gwen
>
> On Sun, 17 Feb 2008 09:48:42 +0100
> gwenhael >
>
Si ssdom.dom.tld et dom.tld n'ont pas la même IP, utiliser ListenAddres s
et spécifier les IP qui peuvent être jointes ?
--
mailing list




L'ensemble du domaine et des sous-domaines ont la même ip... C'est pour ça que je cherche une solution basée sur le nom de domaine

-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
mailing list
gwenhael
Le #7800811
On Sun, 17 Feb 2008 15:05:50 +0100
Christophe Garault
gwenhael a écrit :
> Bonjour,
> Le problème est que je ne souhaite pas bloquer les connections de per sonnes qui ne font pas parties d'un domaine particulier.
> Pour être plus clair avec apache, j'ai configuré l'accés à phpm yadmin
> sur un virtualHost correspondant à UnSousDom.monDomaine.tld,
> Ainsi si je fais UnSousDom.monDomaine.tld/phpmyadmin dans mon navigateu r j'y ai accès.
> Mais si je fais www.monDomaine.tld/phpmyadmin j'ai un 404 parce qu'il n 'est pas accessible.
> Je cherche à faire exactement la même chose pour ssh (entre autre).
> Ainsi où que je sois si je me connecte en ssh avec le bon sousDomaine .domaine.tld ca roule sinon ca marche pas
>
Hello,

A ma connaissance c'est tout simplement impossible car non prévu dans l e
protocole ssh. En effet quel que soit le FQDN que tu indiqueras pour te
connecter il sera immédiatement changé en adresse IP par le résolve ur
DNS du client. Ce que tu décris pour Apache correspond à la commande
Host que le serveur utilise pour savoir par qui et comment traiter la
demande.
Ceci étant je serais très curieux de savoir pourquoi tu désires un tel
comportement pour ssh?

--
Christophe Garault



Salut,
Bon si je veux faire ce genre de machin faut que je me tape un petit alias d'ip :)
En fait j'aimerais faire ça d'une part parce que je suis très curieux d e pousser les choses, ensuite pour réduire un peu tout le spam à la c.. sur ssh et sur les mails.
A+ Gwenhaël

-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
mailing list
gwenhael
Le #7800801
On Sun, 17 Feb 2008 15:15:27 +0100
Christophe Garault
gwenhael a écrit :
> Salut,
> Bon si je veux faire ce genre de machin faut que je me tape un petit al ias d'ip :)
> En fait j'aimerais faire ça d'une part parce que je suis très curie ux de pousser les choses, ensuite pour réduire un peu tout le spam à la c.. sur ssh et sur les mails.
>
Du spam sur ssh??? Je pense que tu veux plutôt parler des robots qui
tentent inlassablement de trouver le couple user/mdp et qui grossissent
démesurément les logs. A cela il existe une parade infaillible qui pe ut
également servir pour d'autres protocoles comme http justement et qui
permet de bannir une IP pendant un temps définit après un nombre de
tentatives infructueuses: il s'agit de fail2ban à émerger de toute
urgence. ;-)

Bonne continuation.

--
Christophe Garault



Oui voila, mauvais terme en effet :)
Faut que je m'occupe en effet de fail2ban :)
Mais j'avoue que je voulais m'amuser à tout verrouiller comme un gros sag ouin :)
a+
Gwen

-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
mailing list
Publicité
Poster une réponse
Anonyme