Страница 1 из 1
Match Host в sshd_config
Добавлено: 2009-11-07 11:39:55
Sadok123
Коллеги, есть затык. Сервер. В сабже прописано:
Код: Выделить всё
#PermitRootLogin no
Match Host 77.221.252.186,127.0.0.1,195.131.166.151
PermitRootLogin yes
Захожу рутом с
195.131.166.151 и сразу получаю отлуп. В логах
Код: Выделить всё
sshd[11037]: ROOT LOGIN REFUSED FROM 195.131.166.151
ОК. иду рутом с
77.221.252.186 - все ОК:
Код: Выделить всё
sshd[11047]: Connection from 77.221.252.186 port 57873
.....
sshd[11047]: debug1: connection from 77.221.252.186 matched 'Host 77.221.252.186,127.0.0.1,195.131.166.151' at line 129
Честно говоря, ситуация с адресом 195.131.... повторяется еще на одном сервере ) Почему адрес не попадает в Match? где копнуть? с символами окончания строк игрался - мимо. единственное, что: 195.131... обратно резолвится в
что-то-там-dsl, но... От наличия фаерволов тоже не зависит - не попадает соответствие (или не проверяется). sshd после правки конфигов рестартовался. клиент у меня Putty, win7, ноут. Нерутом везде хожу спокойно.
Прошу подсказки.
Re: Match Host в sshd_config
Добавлено: 2009-11-07 12:30:09
server801
сделайте авторизацию по ключам и не забивайте голову.это самый секьюрный метод имхо
рутом ходить так же нехорошо
Re: Match Host в sshd_config
Добавлено: 2009-11-07 12:40:13
Sadok123
server801 писал(а):сделайте авторизацию по ключам и не забивайте голову.это самый секьюрный метод имхо
рутом ходить так же нехорошо
по ключам и есть.
если руту нельзя, то и с ключом нельзя, и с паролем
с доверенных хостов так ходить можно
и, собственно, вопрос был не о том )
Re: Match Host в sshd_config
Добавлено: 2009-11-07 12:44:24
server801
ну если авторизация по ключам идет -зачем доверенные хосты вам нужны?думаете вас взломают?это лишняя параноидальность
Re: Match Host в sshd_config
Добавлено: 2009-11-07 12:52:38
Sadok123
server801 писал(а):ну если авторизация по ключам идет -зачем доверенные хосты вам нужны?думаете вас взломают?это лишняя параноидальность
предположим, чисто академический интерес ). "попробовал - не заработало, как надо и как в манах - пачиму? где собака порылась?"
Re: Match Host в sshd_config
Добавлено: 2009-11-08 9:34:55
Sadok123
хм. sshd выполняет обратный резолв ИП подключившегося. ОК. но в первом случае оно в Match Host ищет по PTR, не находит и отлуп, а во втором ему достаточно ИП, хотя и во втором случае PTR-запись есть.
продолжаю наблюдение.
ну, UseDNS no решает, однако интересно...
Re: Match Host в sshd_config
Добавлено: 2009-11-08 19:07:33
Sadok123
так. пока ситуация выглядит так:
1. Если ИП обратно не резолвится - проверяется наличие ИП в списке.
2. Если ИП обратно резолвится корректно (см п.3) - проверяется наличие FQDN в списке.
3. Если ИП обратно резолвится в FDQN, а FDQN при этом резолвится в другой ИП, то при наличии ИП входящего коннекта в списке - пускает (на имя плевать, но в лог ругань).
это все при useDNS yes
продолжаю наблюдение.