Match Host в sshd_config

[Sadok123]

Коллеги, есть затык. Сервер. В сабже прописано:

Код: Выделить всё

#PermitRootLogin no
Match Host 77.221.252.186,127.0.0.1,195.131.166.151
        PermitRootLogin yes

Захожу рутом с 195.131.166.151 и сразу получаю отлуп. В логах

Код: Выделить всё

sshd[11037]: ROOT LOGIN REFUSED FROM 195.131.166.151

ОК. иду рутом с 77.221.252.186 - все ОК:

Код: Выделить всё

sshd[11047]: Connection from 77.221.252.186 port 57873
.....
sshd[11047]: debug1: connection from 77.221.252.186 matched 'Host 77.221.252.186,127.0.0.1,195.131.166.151' at line 129

Честно говоря, ситуация с адресом 195.131.... повторяется еще на одном сервере ) Почему адрес не попадает в Match? где копнуть? с символами окончания строк игрался - мимо. единственное, что: 195.131... обратно резолвится в что-то-там-dsl, но... От наличия фаерволов тоже не зависит - не попадает соответствие (или не проверяется). sshd после правки конфигов рестартовался. клиент у меня Putty, win7, ноут. Нерутом везде хожу спокойно.

Прошу подсказки.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[server801]

сделайте авторизацию по ключам и не забивайте голову.это самый секьюрный метод имхо
рутом ходить так же нехорошо

[Sadok123]

сделайте авторизацию по ключам и не забивайте голову.это самый секьюрный метод имхо
рутом ходить так же нехорошо

по ключам и есть.
если руту нельзя, то и с ключом нельзя, и с паролем
с доверенных хостов так ходить можно
и, собственно, вопрос был не о том )

[server801]

ну если авторизация по ключам идет -зачем доверенные хосты вам нужны?думаете вас взломают?это лишняя параноидальность

[Sadok123]

ну если авторизация по ключам идет -зачем доверенные хосты вам нужны?думаете вас взломают?это лишняя параноидальность

предположим, чисто академический интерес ). "попробовал - не заработало, как надо и как в манах - пачиму? где собака порылась?"

[Sadok123]

хм. sshd выполняет обратный резолв ИП подключившегося. ОК. но в первом случае оно в Match Host ищет по PTR, не находит и отлуп, а во втором ему достаточно ИП, хотя и во втором случае PTR-запись есть.

продолжаю наблюдение.

ну, UseDNS no решает, однако интересно...

[Sadok123]

так. пока ситуация выглядит так:

1. Если ИП обратно не резолвится - проверяется наличие ИП в списке.
2. Если ИП обратно резолвится корректно (см п.3) - проверяется наличие FQDN в списке.
3. Если ИП обратно резолвится в FDQN, а FDQN при этом резолвится в другой ИП, то при наличии ИП входящего коннекта в списке - пускает (на имя плевать, но в лог ругань).

это все при useDNS yes

продолжаю наблюдение.