Bonjour,
Sur des Debian 8 je teste pour mettre une restriction supplémentaire à l'origine d'une clef dans le authorized_keys. A l'heure actuelle la limitation se fait niveau firewall et PAM où certaines sources sont autorisées. Voulant ajouter un filtrage en plus je voudrais mettre les mêmes sources dans le from devant la clef.
Le souci c'est que lorsque je met un fqdn dans le from, si ce fqdn résoud en IPv6 avec ou sans IPv4 alors j’obtiens une erreur comme quoi je ne suis pas d'une source autorisée avec en message d'information exactement la même IP en host et en IP.
Authentication tried for USER with correct key but not from a permitted host (host=2001:XXX, ip=2001:XXX).
Les deux 2001:XXX étant identiques.
Si je met dans le from 2001:XXX à la place du fqdn alors la clef est acceptée.
Avez-vous déjà rencontré cela?
Merci
Le Tue, May 02, 2017 at 03:35:18PM +0200, Wallace [wallace@morkitu.org] a écrit:
Authentication tried for USER with correct key but not from a permitted host (host=2001:XXX, ip=2001:XXX).
Les deux 2001:XXX étant identiques.
Au pif, l'adresse ipv6 en question n'a pas de reverse qui pointe sur le nom indiqué ?
Le 02/05/2017 à 15:41, Dominique Rousseau a écrit :
Le Tue, May 02, 2017 at 03:35:18PM +0200, Wallace [wallace@morkitu.org] a écrit:
Authentication tried for USER with correct key but not from a permitted host (host=2001:XXX, ip=2001:XXX).
Les deux 2001:XXX étant identiques.
Au pif, l'adresse ipv6 en question n'a pas de reverse qui pointe sur le nom indiqué ?
Il n'y a pas de reverse mais c'est dans le sens fqdn -> IP que j'ai le besoin. SSH voit arriver une IP, il trouve les IP des fqdn autorisés et compare si ça matche ou pas. Y aurait une vérification inverse par la suite?
Le 2 mai 2017 à 18:30, Wallace wallace@morkitu.org a écrit :
Le 02/05/2017 à 15:41, Dominique Rousseau a écrit :
Le Tue, May 02, 2017 at 03:35:18PM +0200, Wallace [wallace@morkitu.org]
a écrit:
Authentication tried for USER with correct key but not from a permitted host (host=2001:XXX, ip=2001:XXX).
Les deux 2001:XXX étant identiques.
Au pif, l'adresse ipv6 en question n'a pas de reverse qui pointe sur le nom indiqué ?
Il n'y a pas de reverse mais c'est dans le sens fqdn -> IP que j'ai le besoin. SSH voit arriver une IP, il trouve les IP des fqdn autorisés et compare si ça matche ou pas. Y aurait une vérification inverse par la suite?
Ça ne pourrait pas marcher dans le cas où le from contient un motif (*.bla par exemple) donc je suppose qu'openssh récupère le reverse de l'IP et regarde si un des motif correspond… Après, pour être sûr, il faut lire le code, mais je laisse ce plaisir à d'autres :-).
-
David Sinquin -
Dominique Rousseau -
Wallace