Match Host в sshd_config

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Match Host в sshd_config

Непрочитанное сообщение Sadok123 » 2009-11-07 11:39:55

Коллеги, есть затык. Сервер. В сабже прописано:

Код: Выделить всё

#PermitRootLogin no
Match Host 77.221.252.186,127.0.0.1,195.131.166.151
        PermitRootLogin yes
Захожу рутом с 195.131.166.151 и сразу получаю отлуп. В логах

Код: Выделить всё

sshd[11037]: ROOT LOGIN REFUSED FROM 195.131.166.151
ОК. иду рутом с 77.221.252.186 - все ОК:

Код: Выделить всё

sshd[11047]: Connection from 77.221.252.186 port 57873
.....
sshd[11047]: debug1: connection from 77.221.252.186 matched 'Host 77.221.252.186,127.0.0.1,195.131.166.151' at line 129
Честно говоря, ситуация с адресом 195.131.... повторяется еще на одном сервере ) Почему адрес не попадает в Match? где копнуть? с символами окончания строк игрался - мимо. единственное, что: 195.131... обратно резолвится в что-то-там-dsl, но... От наличия фаерволов тоже не зависит - не попадает соответствие (или не проверяется). sshd после правки конфигов рестартовался. клиент у меня Putty, win7, ноут. Нерутом везде хожу спокойно.

Прошу подсказки.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1398
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: Match Host в sshd_config

Непрочитанное сообщение server801 » 2009-11-07 12:30:09

сделайте авторизацию по ключам и не забивайте голову.это самый секьюрный метод имхо :smile:
рутом ходить так же нехорошо :(

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: Match Host в sshd_config

Непрочитанное сообщение Sadok123 » 2009-11-07 12:40:13

server801 писал(а):сделайте авторизацию по ключам и не забивайте голову.это самый секьюрный метод имхо :smile:
рутом ходить так же нехорошо :(
по ключам и есть.
если руту нельзя, то и с ключом нельзя, и с паролем
с доверенных хостов так ходить можно
и, собственно, вопрос был не о том )

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1398
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: Match Host в sshd_config

Непрочитанное сообщение server801 » 2009-11-07 12:44:24

ну если авторизация по ключам идет -зачем доверенные хосты вам нужны?думаете вас взломают?это лишняя параноидальность :-D

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: Match Host в sshd_config

Непрочитанное сообщение Sadok123 » 2009-11-07 12:52:38

server801 писал(а):ну если авторизация по ключам идет -зачем доверенные хосты вам нужны?думаете вас взломают?это лишняя параноидальность :-D
предположим, чисто академический интерес ). "попробовал - не заработало, как надо и как в манах - пачиму? где собака порылась?"

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: Match Host в sshd_config

Непрочитанное сообщение Sadok123 » 2009-11-08 9:34:55

хм. sshd выполняет обратный резолв ИП подключившегося. ОК. но в первом случае оно в Match Host ищет по PTR, не находит и отлуп, а во втором ему достаточно ИП, хотя и во втором случае PTR-запись есть.

продолжаю наблюдение.

ну, UseDNS no решает, однако интересно...

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: Match Host в sshd_config

Непрочитанное сообщение Sadok123 » 2009-11-08 19:07:33

так. пока ситуация выглядит так:

1. Если ИП обратно не резолвится - проверяется наличие ИП в списке.
2. Если ИП обратно резолвится корректно (см п.3) - проверяется наличие FQDN в списке.
3. Если ИП обратно резолвится в FDQN, а FDQN при этом резолвится в другой ИП, то при наличии ИП входящего коннекта в списке - пускает (на имя плевать, но в лог ругань).

это все при useDNS yes

продолжаю наблюдение.