sshd_config AllowUsers e IPv6

Navegue suas respostas
3

Ter dois servidores se comunicando via ssh e crontab, um "mestre" e um "escravo". Apenas o mestre pode conectar (executar comando) no escravo.

A autenticação foi feita automaticamente (IPv4) graças a

  • ~/.ssh/id_rsa.pub do master adicionado ao ~/.ssh/authorized_keys do escravo
  • de sshd_config do escravo com AllowUsers [email protected]

Estava funcionando bem até que o IPv6 fosse adicionado

  • o mestre e o escravo têm o IPv6 ativado
  • os dois servidores tiveram a configuração reversa do DNS para os dois protocolos
  • sshd_config foi alterado para AllowUsers [email protected]

e esperava que o sshd slave fizesse uma pesquisa inversa do IP IPv6 de entrada (para obter myhost.tld ), mas auth.log mostra

User me from 2103:cc11::...:fe93:4a10 not allowed because not listed in AllowUsers

Eu tenho duas perguntas

  1. o sshd executa uma pesquisa inversa do IPv6 para descobrir se o host corresponde? (se sim, há outro problema)
  2. qual é a maneira correta de adicionar um endereço IPv6 codificado em AllowUsers ? Parece que me@[2103:cc11::...:fe93:4a10] não funciona . ( editar funciona sem o [] )
por Ring Ø 16.12.2017 / 17:10

1 resposta

1

Veja a diretiva UseDNS.

"UseDNS Specifies whether sshd(8) should look up the remote host name, and to check that the resolved hostname for the remote IP address maps back to the very same IP address.

If this option is set to no (the default) then only addresses and not host names may be used in ~/.ssh/authorized_keys from and sshd_config Match Host directives."

Como uma nota lateral, você sempre pode configurar o cliente para forçar o IPv4 a conectar-se a esse host específico em seu ssh_config. Eu usei AllowUsers principalmente para corresponder nomes de usuários, se você quer combinar em nomes de host e IP, você pode querer dar uma olhada no uso do TCP wrapper.

Veja: link

    
por 17.12.2017 / 11:10

Tags

Atualização de microcódigo para o Specter? Dell PowerEdge R820 com um controlador RAID PERC H710