man sshd_config : Match et AllowUsers

Le
Thomas
bonjour :-)


est ce qqn sait si il existe une doc plus complete que man sshd_config
pour
- Match
- AllowUsers et ses semblables (pour le cas où on les combine) ?

je trouve man sshd_config un peu trop succinct

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Xavier Maillard
Le #16703851
Thomas
est ce qqn sait si il existe une doc plus complete que man sshd_config
pour
- Match
- AllowUsers et ses semblables (pour le cas où on les combine) ?

je trouve man sshd_config un peu trop succinct



Tu peux toujours t'essayer a la lecture du code source ;)
F. Senault
Le #16706151
Le 01 septembre à 16:25, Thomas a écrit :

bonjour :-)


est ce qqn sait si il existe une doc plus complete que man sshd_config
pour
- Match
- AllowUsers et ses semblables (pour le cas où on les combine) ?

je trouve man sshd_config un peu trop succinct



Benf, pas vraiment. Quelle est la question, en fait, peut-être que
quelqu'un ici pourra aider ?

Fred
--
Je regarde le bleu profond se voiler
Parfois, un point lumineux se charge de me rappeler
Que je ne suis pas ici pour paresser
Et que quelque part on a besoin de moi pour aider (Merzhin, Par delà)
Thomas
Le #17228471
In article "F. Senault"
Le 01 septembre à 16:25, Thomas a écrit :

> bonjour :-)
>
>
> est ce qqn sait si il existe une doc plus complete que man sshd_config
> pour
> - Match
> - AllowUsers et ses semblables (pour le cas où on les combine) ?
>
> je trouve man sshd_config un peu trop succinct

Benf, pas vraiment. Quelle est la question, en fait, peut-être que
quelqu'un ici pourra aider ?




pour "Match" :


le critère "Host", comment ça marche ??
il y a un autre endroit du man où c'est expliqué ?

le critère "Address" :
c'est possible de mettre un début d'adresse, pour mettre un réseau
entier d'un seul coup ?
apparemment c'est un "pattern" qu'on doit mettre, et j'ai cru comprendre
que c'est expliqué ailleurs la façon d'écrire les "pattern"

mais ça serait quand même bien qu'il y ait des choses très simples, pour
pas risquer de se tromper,
parce que faut pas se tromper, y a la sécurité qui est en jeux, quand
même


si pour un utilisateur donné il y a plusieurs "Match" correspondants, et
qu'ils ont les mêmes commandes,
c'est le dernier qui compte ?



pour "AllowUsers" :


par exemple,
si j'ai jean et roger qui font tous les 2 parti des groupes staff et
admin
et si je fais :
AllowUsers jean
AllowGroups admin
DenyUsers roger
DenyGroups staff

comment je fais pour savoir si jean et roger sont autorisés ou pas ?

j'ai vu qu'il y avait un ordre, qui n'est pas l'ordre d'apparition
(malheureusement, je crois, à moins qu'il y ait une bonne raison ?),
mais je ne sais pas comment l'interpréter

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
F. Senault
Le #17232941
Le 15 septembre à 01:59, Thomas a écrit :

In article "F. Senault"


Benf, pas vraiment. Quelle est la question, en fait, peut-être que
quelqu'un ici pourra aider ?





Par rapport à ce que je lis, je pense que ma page de man est plus
complète que la tienne ; elle correspond à ceci (pris plus ou moins au
hasard sur le web) :

http://rc.quest.com/man.php?id=sshd_config(5)
http://rc.quest.com/man.php?id=ssh_config(5)

pour "Match" :

le critère "Host", comment ça marche ??
il y a un autre endroit du man où c'est expliqué ?



Sur le reverse DNS, avec les pattern * et ? (*.co.uk par exemple) ; on
peut les mettre en liste séparées par des virgules, et en nier une avec
! ; l'exemple cité est :

from="!*.dialup.example.com,*.example.com"

le critère "Address" :
c'est possible de mettre un début d'adresse, pour mettre un réseau
entier d'un seul coup ?



Avec la notation CIDR (192.168.0.0/22).

apparemment c'est un "pattern" qu'on doit mettre, et j'ai cru comprendre
que c'est expliqué ailleurs la façon d'écrire les "pattern"



Dans ma version de la page de man, il est explicitement expliqué que les
patterns sont celles décrites dans ssh_config(5) ; là bas, je vois qu'on
peut utiliser

si pour un utilisateur donné il y a plusieurs "Match" correspondants, et
qu'ils ont les mêmes commandes,
c'est le dernier qui compte ?



Je pense qu'il combine chaque match, mais ce n'est pas très clair. A
tester.

pour "AllowUsers" :



j'ai vu qu'il y avait un ordre, qui n'est pas l'ordre d'apparition
(malheureusement, je crois, à moins qu'il y ait une bonne raison ?),
mais je ne sais pas comment l'interpréter



J'ai testé avec "DenyUsers * ; AllowUsers toto" et toto n'a pas le droit
de se logguer ; c'est donc la première directive correspondante suivant
l'ordre donné (DenyUsers - AllowUsers - DenyGroups - AllowGroups) qui
prend le pas.

HTH,

Fred
--
- No, *I* blue screamed. "WHAT THE FUCK IS FUCKING WRONG WITH YOU
FUCKING PIECE OF FUCKING HEISENBUG RIDDEN CRAPWARE?"
- Um. Is this a trick question?
(Paul Tomblin and Jim, in the SDM)
Thomas
Le #17252651
In article "F. Senault"
Le 15 septembre à 01:59, Thomas a écrit :

> In article > "F. Senault"
>> Benf, pas vraiment. Quelle est la question, en fait, peut-être que
>> quelqu'un ici pourra aider ?

Par rapport à ce que je lis, je pense que ma page de man est plus
complète que la tienne ; elle correspond à ceci (pris plus ou moins au
hasard sur le web) :

http://rc.quest.com/man.php?id=sshd_config(5)
http://rc.quest.com/man.php?id=ssh_config(5)



effectivement :-)

d'ailleurs je ne sais pas précisément jusqu'à quel point je peux m'y
fier, parce que t'as bcp plus de commandes autorisés, dans un bloc Match


$ ssh -v
OpenSSH_4.7p1, OpenSSL 0.9.7l 28 Sep 2006

comment peut on savoir à quelle version de ssh correspond un man ?



> pour "Match" :
>
> le critère "Host", comment ça marche ??
> il y a un autre endroit du man où c'est expliqué ?

Sur le reverse DNS,



merci :-)
(c'est expliqué qqpart, ou c'est juste suffisamment évident pour
suffisamment de monde ?)



> le critère "Address" :
> c'est possible de mettre un début d'adresse, pour mettre un réseau
> entier d'un seul coup ?

Avec la notation CIDR (192.168.0.0/22).



merci :-)


> apparemment c'est un "pattern" qu'on doit mettre, et j'ai cru comprendre
> que c'est expliqué ailleurs la façon d'écrire les "pattern"

Dans ma version de la page de man, il est explicitement expliqué que les
patterns sont celles décrites dans ssh_config(5) ; là bas, je vois qu'on
peut utiliser



avec les pattern * et ? (*.co.uk par exemple) ; on
peut les mettre en liste séparées par des virgules, et en nier une avec
! ; l'exemple cité est :

from="!*.dialup.example.com,*.example.com"



merci pour les pattern :-)
j'aurais du regarder plus tôt : ca me faisait peur à cause de tout ce
qui existe, mais là c'est la forme la pus simple que je connaisse :-)



> si pour un utilisateur donné il y a plusieurs "Match" correspondants, et
> qu'ils ont les mêmes commandes,
> c'est le dernier qui compte ?

Je pense qu'il combine chaque match, mais ce n'est pas très clair. A
tester.



ok


> pour "AllowUsers" :

> j'ai vu qu'il y avait un ordre, qui n'est pas l'ordre d'apparition
> (malheureusement, je crois, à moins qu'il y ait une bonne raison ?),
> mais je ne sais pas comment l'interpréter

J'ai testé avec "DenyUsers * ; AllowUsers toto" et toto n'a pas le droit
de se logguer ; c'est donc la première directive correspondante suivant
l'ordre donné (DenyUsers - AllowUsers - DenyGroups - AllowGroups) qui
prend le pas.



merci :-)



HTH,



oui, merci :-)



si tu me permet il me vient une question sur une autre partie :

apparemment PermitOpen c'est fait pour limiter seulement les tunnels "à
l'endroit"

est ce qu'il y a qqch pour limiter les tunnels "à l'envers", cad
permettre d'écouter seulement sur certains ports ?

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
F. Senault
Le #17254091
Le 17 septembre à 14:30, Thomas a écrit :

In article "F. Senault"


Par rapport à ce que je lis, je pense que ma page de man est plus
complète que la tienne ; elle correspond à ceci (pris plus ou moins au
hasard sur le web) :

http://rc.quest.com/man.php?id=sshd_config(5)
http://rc.quest.com/man.php?id=ssh_config(5)



effectivement :-)

d'ailleurs je ne sais pas précisément jusqu'à quel point je peux m'y
fier, parce que t'as bcp plus de commandes autorisés, dans un bloc Match

$ ssh -v
OpenSSH_4.7p1, OpenSSL 0.9.7l 28 Sep 2006

comment peut on savoir à quelle version de ssh correspond un man ?



Bonne question. FYI, ce que j'ai correspond à :

16:50 :~> ssh -V
OpenSSH_5.1p1 FreeBSD-20080901, OpenSSL 0.9.8e 23 Feb 2007

pour "Match" :

le critère "Host", comment ça marche ??
il y a un autre endroit du man où c'est expliqué ?



Sur le reverse DNS,



merci :-)
(c'est expliqué qqpart, ou c'est juste suffisamment évident pour
suffisamment de monde ?)



C'est juste que ça me semble évident (surtout avec les exemples genre
*.co.uk).

/.../

si tu me permet il me vient une question sur une autre partie :

apparemment PermitOpen c'est fait pour limiter seulement les tunnels "à
l'endroit"

est ce qu'il y a qqch pour limiter les tunnels "à l'envers", cad
permettre d'écouter seulement sur certains ports ?



C'est à dire concrètement ?

Fred
--
I feel it move across my skin. I'm reaching up and reaching out, I'm
reaching for the random or what ever will bewilder me. And following
our will and wind we may just go where no one's been. We'll ride the
spiral to the end and may just go where no one's been. (Tool, Lateralus)
Thomas
Le #17255531
In article "F. Senault"
Le 17 septembre à 14:30, Thomas a écrit :

> In article > "F. Senault"
>> Par rapport à ce que je lis, je pense que ma page de man est plus
>> complète que la tienne ; elle correspond à ceci (pris plus ou moins au
>> hasard sur le web) :
>>
>> http://rc.quest.com/man.php?id=sshd_config(5)
>> http://rc.quest.com/man.php?id=ssh_config(5)
>
> effectivement :-)
>
> d'ailleurs je ne sais pas précisément jusqu'à quel point je peux m'y
> fier, parce que t'as bcp plus de commandes autorisés, dans un bloc Match
>
> $ ssh -v
> OpenSSH_4.7p1, OpenSSL 0.9.7l 28 Sep 2006
>
> comment peut on savoir à quelle version de ssh correspond un man ?

Bonne question. FYI, ce que j'ai correspond à :

16:50 :~> ssh -V
OpenSSH_5.1p1 FreeBSD-20080901, OpenSSL 0.9.8e 23 Feb 2007



aie !
donc si ça se trouve j'ai pas accès à tout ce que tu m'as indiqué ...


>>> pour "Match" :
>>>
>>> le critère "Host", comment ça marche ??
>>> il y a un autre endroit du man où c'est expliqué ?
>>
>> Sur le reverse DNS,
>
> merci :-)
> (c'est expliqué qqpart, ou c'est juste suffisamment évident pour
> suffisamment de monde ?)

C'est juste que ça me semble évident (surtout avec les exemples genre
*.co.uk).



ok

en fait j'avais pensé à la possibilité,
mais ça me paraissait curieux que des choses sensibles niveau sécurité
comme celles là, puissent dépendre d'un reverse DNS pour choisir de
donner l'accès ou pas



> si tu me permet il me vient une question sur une autre partie :
>
> apparemment PermitOpen c'est fait pour limiter seulement les tunnels "à
> l'endroit"
>
> est ce qu'il y a qqch pour limiter les tunnels "à l'envers", cad
> permettre d'écouter seulement sur certains ports ?

C'est à dire concrètement ?



je te donne accès à mon serveur ssh, et je t'autorise à 1 seule chose :
pas de shell, pas de tunnel à l'endroit, pas de x11, ...
je t'autorise à faire un tunnel à l'envers, à condition que sur mon
serveur tu attendes les connexions qui arrivent sur le port 58627, et
aucun autre
bien entendu, chez toi t'envoies les donnes où tu veux

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Thomas
Le #17490741
In article
Thomas
In article "F. Senault"
> Le 17 septembre à 14:30, Thomas a écrit :
>
> > In article > > "F. Senault" >
> >> Par rapport à ce que je lis, je pense que ma page de man est plus
> >> complète que la tienne ; elle correspond à ceci (pris plus ou moins au
> >> hasard sur le web) :
> >>
> >> http://rc.quest.com/man.php?id=sshd_config(5)
> >> http://rc.quest.com/man.php?id=ssh_config(5)
> >
> > effectivement :-)
> >
> > d'ailleurs je ne sais pas précisément jusqu'à quel point je peux m'y
> > fier, parce que t'as bcp plus de commandes autorisés, dans un bloc Match
> >
> > $ ssh -v
> > OpenSSH_4.7p1, OpenSSL 0.9.7l 28 Sep 2006
> >
> > comment peut on savoir à quelle version de ssh correspond un man ?
>
> Bonne question. FYI, ce que j'ai correspond à :
>
> 16:50 :~> ssh -V
> OpenSSH_5.1p1 FreeBSD-20080901, OpenSSL 0.9.8e 23 Feb 2007

aie !
donc si ça se trouve j'ai pas accès à tout ce que tu m'as indiqué ...



alors en fait, j'ai bien eu une maj datée du 15 sept pour ce que tu
sembles avoir eu le 1er sept
(sauf que je l'avais pas encore vue parce que mon logiciel de maj
automatique ne marche pas comme il faut)

donc maintenant, j'ai le même man que toi :-))
(merci pour tes indications quand même :-) )




> > si tu me permet il me vient une question sur une autre partie :
> >
> > apparemment PermitOpen c'est fait pour limiter seulement les tunnels "à
> > l'endroit"
> >
> > est ce qu'il y a qqch pour limiter les tunnels "à l'envers", cad
> > permettre d'écouter seulement sur certains ports ?
>
> C'est à dire concrètement ?

je te donne accès à mon serveur ssh, et je t'autorise à 1 seule chose :
pas de shell, pas de tunnel à l'endroit, pas de x11, ...
je t'autorise à faire un tunnel à l'envers, à condition que sur mon
serveur tu attendes les connexions qui arrivent sur le port 58627, et
aucun autre
bien entendu, chez toi t'envoies les donnes où tu veux



t'as pas répondu jute parce que c'est pas encore possible de faire ça,
ou c'est tjr pas assez clair ?

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
F. Senault
Le #17524941
Le 11 octobre à 01:31, Thomas a écrit :

C'est à dire concrètement ?



je te donne accès à mon serveur ssh, et je t'autorise à 1 seule chose :
pas de shell, pas de tunnel à l'endroit, pas de x11, ...
je t'autorise à faire un tunnel à l'envers, à condition que sur mon
serveur tu attendes les connexions qui arrivent sur le port 58627, et
aucun autre
bien entendu, chez toi t'envoies les donnes où tu veux



t'as pas répondu jute parce que c'est pas encore possible de faire ça,
ou c'est tjr pas assez clair ?



Juste que je me suis retrouvé relativement éloigné du clavier et que
j'ai totalement oublié ce fil...

Ceci étant dit, je n'ai aucune idée de la faisabilité de la chose,
honnêtement.

Fred
--
Petite soeur de mes nuits Ca m'a manqué tout ça
Quand tu sauvais la face A bien d'autres que moi
Sache que je n'oublie rien mais qu'on efface
A ton étoile (Noir Désir, A ton étoile)
Thomas
Le #17525571
In article "F. Senault"
Le 11 octobre à 01:31, Thomas a écrit :

>>> C'est à dire concrètement ?
>>
>> je te donne accès à mon serveur ssh, et je t'autorise à 1 seule chose :
>> pas de shell, pas de tunnel à l'endroit, pas de x11, ...
>> je t'autorise à faire un tunnel à l'envers, à condition que sur mon
>> serveur tu attendes les connexions qui arrivent sur le port 58627, et
>> aucun autre
>> bien entendu, chez toi t'envoies les donnes où tu veux
>
> t'as pas répondu jute parce que c'est pas encore possible de faire ça,
> ou c'est tjr pas assez clair ?

Juste que je me suis retrouvé relativement éloigné du clavier et que
j'ai totalement oublié ce fil...



ok, pas de pb :-)


Ceci étant dit, je n'ai aucune idée de la faisabilité de la chose,
honnêtement.



faisabilité, tu veux dire pour nous tout de suite, pas pour ceux qui
programment ssh ?

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Publicité
Poster une réponse
Anonyme