[gentoo-user-fr] Restriction ssh sur un sous domaine
16 réponses
gwenhael
Bonjour,
Je souhaiterais savoir s'il est possible et si oui comment faire pour=20
pouvoir sur un serveur unique pouvoir autoriser les connections ssh uniquem=
ent=20
si l'adresse est monSousDomaine.monDomaine.tld.
Sachant que la machine g=E8re avec une seule adresse ip le domaine=20
et tous les sous-domaines.
Merci d'avance
Gwenha=EBl
-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
gentoo-user-fr@lists.gentoo.org mailing list
On Sun, Feb 17, 2008 at 02:44:29PM +0100, gwenhael wrote:
On Sun, 17 Feb 2008 14:40:14 +0100 Cédric Godin wrote:
> gwenhael wrote: > > En regardant la doc si j'ai bien compris hosts.* permettent d'interdire des connections. > > Ce que je cherche à faire c'est au contraire de fermer ssh si l'adresse n'est pas la bonne. > > En clair > > ssh --> ca marche > > ssh --> pas de réponse. > > Donc je ne limite pas l'origine du client mais je limite les adresses qui répondront. > > a+ > > Gwen > > > > On Sun, 17 Feb 2008 09:48:42 +0100 > > gwenhael wrote: > > > > > Si ssdom.dom.tld et dom.tld n'ont pas la même IP, utiliser ListenAddress > et spécifier les IP qui peuvent être jointes ? > -- > mailing list > > L'ensemble du domaine et des sous-domaines ont la même ip... C'est pour ça que je cherche une solution basée sur le nom de domaine
Si monSousDomaine.monDomaine.tld et www.monDomaine.tld correspondent à la même IP, ou si d'ailleur tous les *.monDomaine.tld correspondent à la même IP, il n'y a, à ma connaissance, aucun moyen de distinguer et de restreindre les tentatives de connection à un sous domaine.
En effet, ssh ne se base que sur l'IP pour trouver le serveur sshd. Ce n'est pas comme pour les virtualhosts de apache, qui utilisent un attribut particulier de l'entète HTTP. Si tu exécute: ssh le client va résoudre monSousDomaine.monDomaine.tld. Imaginons que l'IP correspondante soit a.b.c.d. Alors le client va se connecter au serveur se trouvant à l'IP a.b.c.d. Et le serveur n'aura donc pas connaissance que le client a été lancé avec une requète particulière sur le domaine monSousDomaine.monDomaine.tld.
Si je me trompe dites le moi.
++ baronchon
-- mailing list
On Sun, Feb 17, 2008 at 02:44:29PM +0100, gwenhael wrote:
On Sun, 17 Feb 2008 14:40:14 +0100
Cédric Godin <cedric.godin@skynet.be> wrote:
> gwenhael wrote:
> > En regardant la doc si j'ai bien compris hosts.* permettent d'interdire des connections.
> > Ce que je cherche à faire c'est au contraire de fermer ssh si l'adresse n'est pas la bonne.
> > En clair
> > ssh toto@monSousDomaine.monDomaine.tld --> ca marche
> > ssh toto@www.monDomaine.tld --> pas de réponse.
> > Donc je ne limite pas l'origine du client mais je limite les adresses qui répondront.
> > a+
> > Gwen
> >
> > On Sun, 17 Feb 2008 09:48:42 +0100
> > gwenhael <gwenjo@free.fr> wrote:
> >
> >
> Si ssdom.dom.tld et dom.tld n'ont pas la même IP, utiliser ListenAddress
> et spécifier les IP qui peuvent être jointes ?
> --
> gentoo-user-fr@lists.gentoo.org mailing list
>
>
L'ensemble du domaine et des sous-domaines ont la même ip... C'est pour ça que je cherche une solution basée sur le nom de domaine
Si monSousDomaine.monDomaine.tld et www.monDomaine.tld correspondent à
la même IP, ou si d'ailleur tous les *.monDomaine.tld correspondent à la
même IP, il n'y a, à ma connaissance, aucun moyen de distinguer et de
restreindre les tentatives de connection à un sous domaine.
En effet, ssh ne se base que sur l'IP pour trouver le serveur sshd.
Ce n'est pas comme pour les virtualhosts de apache, qui utilisent un
attribut particulier de l'entète HTTP.
Si tu exécute:
ssh toto@monSousDomaine.monDomaine.tld
le client va résoudre monSousDomaine.monDomaine.tld.
Imaginons que l'IP correspondante soit a.b.c.d.
Alors le client va se connecter au serveur se trouvant à l'IP a.b.c.d.
Et le serveur n'aura donc pas connaissance que le client a été lancé
avec une requète particulière sur le domaine monSousDomaine.monDomaine.tld.
On Sun, Feb 17, 2008 at 02:44:29PM +0100, gwenhael wrote:
On Sun, 17 Feb 2008 14:40:14 +0100 Cédric Godin wrote:
> gwenhael wrote: > > En regardant la doc si j'ai bien compris hosts.* permettent d'interdire des connections. > > Ce que je cherche à faire c'est au contraire de fermer ssh si l'adresse n'est pas la bonne. > > En clair > > ssh --> ca marche > > ssh --> pas de réponse. > > Donc je ne limite pas l'origine du client mais je limite les adresses qui répondront. > > a+ > > Gwen > > > > On Sun, 17 Feb 2008 09:48:42 +0100 > > gwenhael wrote: > > > > > Si ssdom.dom.tld et dom.tld n'ont pas la même IP, utiliser ListenAddress > et spécifier les IP qui peuvent être jointes ? > -- > mailing list > > L'ensemble du domaine et des sous-domaines ont la même ip... C'est pour ça que je cherche une solution basée sur le nom de domaine
Si monSousDomaine.monDomaine.tld et www.monDomaine.tld correspondent à la même IP, ou si d'ailleur tous les *.monDomaine.tld correspondent à la même IP, il n'y a, à ma connaissance, aucun moyen de distinguer et de restreindre les tentatives de connection à un sous domaine.
En effet, ssh ne se base que sur l'IP pour trouver le serveur sshd. Ce n'est pas comme pour les virtualhosts de apache, qui utilisent un attribut particulier de l'entète HTTP. Si tu exécute: ssh le client va résoudre monSousDomaine.monDomaine.tld. Imaginons que l'IP correspondante soit a.b.c.d. Alors le client va se connecter au serveur se trouvant à l'IP a.b.c.d. Et le serveur n'aura donc pas connaissance que le client a été lancé avec une requète particulière sur le domaine monSousDomaine.monDomaine.tld.
Si je me trompe dites le moi.
++ baronchon
-- mailing list
Stephane Bortzmeyer
On Sun, Feb 17, 2008 at 10:31:04AM +0100, gwenhael wrote a message of 73 lines which said:
ssh --> ca marche ssh --> pas de réponse. Donc je ne limite pas l'origine du client mais je limite les adresses qui répondront.
Ce n'est pas du tout ce que vous demandiez au début. Vous demandiez une restriction par nom de domaine. Si c'est par adresse IP du serveur, c'est fort simple, dans sshd_config :
# Uniquement répondre sur cette adresse IP ListenAddress 192.0.2.1
-- mailing list
On Sun, Feb 17, 2008 at 10:31:04AM +0100,
gwenhael <gwenjo@free.fr> wrote
a message of 73 lines which said:
ssh toto@monSousDomaine.monDomaine.tld --> ca marche
ssh toto@www.monDomaine.tld --> pas de réponse.
Donc je ne limite pas l'origine du client mais je limite les adresses qui répondront.
Ce n'est pas du tout ce que vous demandiez au début. Vous demandiez
une restriction par nom de domaine. Si c'est par adresse IP du
serveur, c'est fort simple, dans sshd_config :
# Uniquement répondre sur cette adresse IP
ListenAddress 192.0.2.1
On Sun, Feb 17, 2008 at 10:31:04AM +0100, gwenhael wrote a message of 73 lines which said:
ssh --> ca marche ssh --> pas de réponse. Donc je ne limite pas l'origine du client mais je limite les adresses qui répondront.
Ce n'est pas du tout ce que vous demandiez au début. Vous demandiez une restriction par nom de domaine. Si c'est par adresse IP du serveur, c'est fort simple, dans sshd_config :
# Uniquement répondre sur cette adresse IP ListenAddress 192.0.2.1
-- mailing list
Stephane Bortzmeyer
On Sun, Feb 17, 2008 at 03:15:27PM +0100, Christophe Garault wrote a message of 81 lines which said:
Je pense que tu veux plutôt parler des robots qui tentent inlassablement de trouver le couple user/mdp et qui grossissent démesurément les logs. A cela il existe une parade infaillible qui peut également servir pour d'autres protocoles comme http justement et qui permet de bannir une IP pendant un temps définit après un nombre de tentatives infructueuses: il s'agit de fail2ban
Plus simple : changer le port par défaut, de 22 vers 9422 ou Dieu sait quoi d'autre. Radical.
# Rendre la tâche plus difficile aux robots Port 9422 -- mailing list
On Sun, Feb 17, 2008 at 03:15:27PM +0100,
Christophe Garault <christophe@garault.org> wrote
a message of 81 lines which said:
Je pense que tu veux plutôt parler des robots qui tentent
inlassablement de trouver le couple user/mdp et qui grossissent
démesurément les logs. A cela il existe une parade infaillible qui
peut également servir pour d'autres protocoles comme http justement
et qui permet de bannir une IP pendant un temps définit après un
nombre de tentatives infructueuses: il s'agit de fail2ban
Plus simple : changer le port par défaut, de 22 vers 9422 ou Dieu sait
quoi d'autre. Radical.
# Rendre la tâche plus difficile aux robots
Port 9422
--
gentoo-user-fr@lists.gentoo.org mailing list
On Sun, Feb 17, 2008 at 03:15:27PM +0100, Christophe Garault wrote a message of 81 lines which said:
Je pense que tu veux plutôt parler des robots qui tentent inlassablement de trouver le couple user/mdp et qui grossissent démesurément les logs. A cela il existe une parade infaillible qui peut également servir pour d'autres protocoles comme http justement et qui permet de bannir une IP pendant un temps définit après un nombre de tentatives infructueuses: il s'agit de fail2ban
Plus simple : changer le port par défaut, de 22 vers 9422 ou Dieu sait quoi d'autre. Radical.
# Rendre la tâche plus difficile aux robots Port 9422 -- mailing list
gwenhael
Si si c'était ce que je demandais mais j'avais mal exprimé ma pensée en fait. Gwen
On Sun, 17 Feb 2008 16:05:24 +0100 Stephane Bortzmeyer wrote:
On Sun, Feb 17, 2008 at 10:31:04AM +0100, gwenhael wrote a message of 73 lines which said:
> ssh --> ca marche > ssh --> pas de réponse. > Donc je ne limite pas l'origine du client mais je limite les adresses q ui répondront.
Ce n'est pas du tout ce que vous demandiez au début. Vous demandiez une restriction par nom de domaine. Si c'est par adresse IP du serveur, c'est fort simple, dans sshd_config :
# Uniquement répondre sur cette adresse IP ListenAddress 192.0.2.1
-- mailing list
------- http://www.trabucayre.com Arsenic et vieilles ferailles -- mailing list
Si si c'était ce que je demandais mais j'avais mal exprimé ma pensée en fait.
Gwen
On Sun, 17 Feb 2008 16:05:24 +0100
Stephane Bortzmeyer <stephane@sources.org> wrote:
On Sun, Feb 17, 2008 at 10:31:04AM +0100,
gwenhael <gwenjo@free.fr> wrote
a message of 73 lines which said:
> ssh toto@monSousDomaine.monDomaine.tld --> ca marche
> ssh toto@www.monDomaine.tld --> pas de réponse.
> Donc je ne limite pas l'origine du client mais je limite les adresses q ui répondront.
Ce n'est pas du tout ce que vous demandiez au début. Vous demandiez
une restriction par nom de domaine. Si c'est par adresse IP du
serveur, c'est fort simple, dans sshd_config :
# Uniquement répondre sur cette adresse IP
ListenAddress 192.0.2.1
--
gentoo-user-fr@lists.gentoo.org mailing list
-------
http://www.trabucayre.com
Arsenic et vieilles ferailles
--
gentoo-user-fr@lists.gentoo.org mailing list
Si si c'était ce que je demandais mais j'avais mal exprimé ma pensée en fait. Gwen
On Sun, 17 Feb 2008 16:05:24 +0100 Stephane Bortzmeyer wrote:
On Sun, Feb 17, 2008 at 10:31:04AM +0100, gwenhael wrote a message of 73 lines which said:
> ssh --> ca marche > ssh --> pas de réponse. > Donc je ne limite pas l'origine du client mais je limite les adresses q ui répondront.
Ce n'est pas du tout ce que vous demandiez au début. Vous demandiez une restriction par nom de domaine. Si c'est par adresse IP du serveur, c'est fort simple, dans sshd_config :
# Uniquement répondre sur cette adresse IP ListenAddress 192.0.2.1
-- mailing list
------- http://www.trabucayre.com Arsenic et vieilles ferailles -- mailing list
Stephane Bortzmeyer
On Sun, Feb 17, 2008 at 02:44:29PM +0100, gwenhael wrote a message of 36 lines which said:
L'ensemble du domaine et des sous-domaines ont la même ip... C'est pour ça que je cherche une solution basée sur le nom de domaine
Comme indiqué par Christophe Garault, c'est impossible en SSH, le protocole ne transmettant pas le nom de domaine originel (HTTP qui, lui, transmet ce nom, est un cas très particulier, la grande majorité des protocoles font comme SSH). -- mailing list
On Sun, Feb 17, 2008 at 02:44:29PM +0100,
gwenhael <gwenjo@free.fr> wrote
a message of 36 lines which said:
L'ensemble du domaine et des sous-domaines ont la même ip... C'est
pour ça que je cherche une solution basée sur le nom de domaine
Comme indiqué par Christophe Garault, c'est impossible en SSH, le
protocole ne transmettant pas le nom de domaine originel (HTTP qui,
lui, transmet ce nom, est un cas très particulier, la grande majorité
des protocoles font comme SSH).
--
gentoo-user-fr@lists.gentoo.org mailing list
On Sun, Feb 17, 2008 at 02:44:29PM +0100, gwenhael wrote a message of 36 lines which said:
L'ensemble du domaine et des sous-domaines ont la même ip... C'est pour ça que je cherche une solution basée sur le nom de domaine
Comme indiqué par Christophe Garault, c'est impossible en SSH, le protocole ne transmettant pas le nom de domaine originel (HTTP qui, lui, transmet ce nom, est un cas très particulier, la grande majorité des protocoles font comme SSH). -- mailing list
Carmine Chiancone
gwenhael wrote:
Si si c'était ce que je demandais mais j'avais mal exprimé ma pensée en fait. Gwen
alors c'était peut-être ce que vous pensiez avoir demandé, mais (relisez vous si vous n'arrivez pas à nous croire sur parole) ce n'est pas du tout ce que vous demandiez au début
-- Carmine Chiancone Uni GE - Organic Chemistry
-- mailing list
gwenhael wrote:
Si si c'était ce que je demandais mais j'avais mal exprimé ma pensée en fait.
Gwen
alors c'était peut-être ce que vous pensiez avoir demandé, mais (relisez
vous si vous n'arrivez pas à nous croire sur parole) ce n'est pas du
tout ce que vous demandiez au début
Si si c'était ce que je demandais mais j'avais mal exprimé ma pensée en fait. Gwen
alors c'était peut-être ce que vous pensiez avoir demandé, mais (relisez vous si vous n'arrivez pas à nous croire sur parole) ce n'est pas du tout ce que vous demandiez au début