limiter l'utilisation de ssh à une ip externe

[jeanjan]

bonjour à tous,

Je veux limiter l'utilisation de ssh sur le sme à mon ip qui est extérieure au réseau local.

j'ai autorisé mon ip par le server-manager dans "gestion à distance --> réseau" donc j'accède au server-manager en https mais je ne peux pas ouvrir de session ssh.

comment faire ?

[MasterSleepy]

Salut,

Peux-tu nous donner le contenu du fichier /etc/hosts.allow
Normalement il aurait du rajouter une entré pour ton IP externe.
Mais bon a voir

A+

[jeanjan]

afpd: 127.0.0.1 192.168.0.0/255.255.255.0
papd: 127.0.0.1 192.168.0.0/255.255.255.0
in.identd: 127.0.0.1 192.168.0.0/255.255.255.0
# LDAP servers
slapd: 127.0.0.1 192.168.0.0/255.255.255.0
# pptpd is disabled
# 'ftp' is disabled in the configuration database
# 'popd' is disabled in the configuration database
sshd: 127.0.0.1 192.168.0.0/255.255.255.0
# 'telnet' is disabled in the configuration database


il n'y a pas mon adresse.
est-ce que tu crois que je dois editer (template) à la main /etc/hosts.allow pour ajouter mon ip ?

[Franck78]

Salut,

C'est pas garanti hosts.allow.deny. Pas sur que ssh utilises ceci. Tu dois d'abord et surtout 'ouvrir' dans le firewall l'accèsau port 22 pour ton IP.

le résultat doit donner un truc du genre

iptables -A INPUT -s extip --dport 22 -j ACCEPT


Bon pas encore réveillé ce matin, mais en gros c'est ça, pour y parvenir, voir la cuisine SME !!!


bye

[jeanjan]

Salut,

C'est pas garanti hosts.allow.deny. Pas sur que ssh utilises ceci.

je pense que si parce que si je permet l'accès à secure shell à tout internet, hosts.allow est comme ça :

afpd: 127.0.0.1 192.168.0.0/255.255.255.0
papd: 127.0.0.1 192.168.0.0/255.255.255.0
in.identd: 127.0.0.1 192.168.0.0/255.255.255.0
# LDAP servers
slapd: 127.0.0.1 192.168.0.0/255.255.255.0
# pptpd is disabled
# 'ftp' is disabled in the configuration database
# 'popd' is disabled in the configuration database
sshd: ALL
# 'telnet' is disabled in the configuration database

et dans cette config je peux y accéder de n'importe où par ssh.

[MasterSleepy]

Ben si j'étais toi je ferais ceci

Code: Tout sélectionner

mkdir -p /etc/e-smith/templates-custom/etc/hosts.allow
pico /etc/e-smith/templates-custom/etc/hosts.allow/sshd
[code]
sshd: 127.0.0.1 192.168.0.0/255.255.255.0 [TON IP]
[/code]
ctrl-o
ctrl-x

/sbin/e-smith/expand-template /etc/hosts.allow


Après il faut forcer l'ouverture du firewall, comme la spécifié franck

Code: Tout sélectionner

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq
pico /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/45AllowSSH
[code]
{
    my $status = $sshd{status} || "disabled";
    my $access = $sshd{access} || "private";

    $OUT = allow_tcp_in(22,
            ($status eq 'enabled') && ($access eq 'private'));
}
[/code]
ctrl-o
ctrl-x

/sbin/e-smith/expand-template /etc/rc.d/init.d/masq


Bon OK, ce sera plus paramètrable via l'interface WEB

A+

[jeanjan]

salut,

ok pour la première partie.

pour la 2eme, est-ce que je peux le faire avec la contrib de muzo masq_manager ?

[MasterSleepy]

Oui pourquoi pas.
Il suffit d'ouvrir le port 22 en TCP et l'affaire est joué.

[jeanjan]

pour la première partie, c'est bien sous la forme :

sshd: 127.0.0.1 192.168.0.0/255.255.255.0 xxx.xxx.xxx.xxx

?

avec xxx.xxx.xxx.xxx = mon ip

[MasterSleepy]

Oui c'est bien ça.
Il faut peut-être préciser le masque juste après mais c'est vraiment pas sûre.
Genre : xxx.xxx.xxx.xxx/255.255.255.255

[jeanjan]

ça ne fonctionne pas.

j'ai essayé avec le masque de sous réseau et sans.

[MasterSleepy]

Bon ben je vois plus là.

Redonne ton fichier /etc/hosts.allow
Peut-être que ça dira qq chose à qq1

A+

[jeanjan]

il faudra attendre parce qu'avec toutes ces manip je n'ai plus du tout accès à SSH même quand je laisse l'accès à tout internet.
Comment fait-on pour supprimer un template custom, sans ssh ni écran+clavier, je n'ai accès qu'au server-manager ?
ftp ?
pigeon voyageur ?
telnet ?
...

[sibsib]

Salut,

réponse joker : tu remets un écran et un clavier...

Je n'ai pas mieux, je crains...

A+,
Pascal

[jeanjan]

salut,

j'ai établi la connexion vpn mais je ne peux pas plus faire du ssh.
J'arrive même pas à pinguer le sme, j'y comprend rien

je crois que ça va se finir comme tu le dis sibsib.