Project

General

Profile

Tâche #9024

Distribution EOLE - Scénario #9023: Module EOLE Nebula

Accès SSH pour lui même

Added by Christophe LEON over 6 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
09/26/2014
Due date:
% Done:

100%

Estimated time:
6.00 h
Spent time:
Remaining (hours):
0.0

Description

Il est nécessaire que la machine puisse faire un SSH sur elle même
il faudrait dans les règles d'accès SSH prévoir l'IP de la machine elle même

Associated revisions

Revision 4b562740 (diff)
Added by Philippe Caseiro over 6 years ago

tmpl/sshd_config: Utilisation de virt_group plutôt que "virt_user"

Dans les nouveaux paquets le groupe est cloud et non plus oneadmin.
On utilise donc virt_group plutôt que virt_user pour le AllowGroups.

fixes #9024 @40m

History

#1 Updated by Philippe Caseiro over 6 years ago

  • Parent task set to #9023

#2 Updated by Philippe Caseiro over 6 years ago

  • Estimated time set to 1.00 h

#3 Updated by Daniel Dehennin over 6 years ago

  • Assigned To set to Philippe Caseiro
  • Remaining (hours) set to 1.0

#4 Updated by Philippe Caseiro over 6 years ago

  • Remaining (hours) changed from 1.0 to 6.0

Révaluation de la demande, bcp plus long que prévus

#5 Updated by Philippe Caseiro over 6 years ago

  • Estimated time changed from 1.00 h to 6.00 h

#6 Updated by Philippe Caseiro over 6 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

Appliqué par commit eole-one-singlenode:commit:2d8e3e6b44bc0c3746c40518b6cad99ff26fb9b4.

#7 Updated by Philippe Caseiro over 6 years ago

  • Remaining (hours) changed from 6.0 to 0.5

#8 Updated by Philippe Caseiro over 6 years ago

  • Status changed from Résolu to En cours

#9 Updated by Philippe Caseiro over 6 years ago

  • Remaining (hours) changed from 0.5 to 1.0

#10 Updated by Philippe Caseiro over 6 years ago

  • Status changed from En cours to Résolu

#11 Updated by Philippe Caseiro over 6 years ago

  • Remaining (hours) changed from 1.0 to 0.2

#12 Updated by Daniel Dehennin over 6 years ago

  • Status changed from Résolu to En cours

La règle suivante est inutile:

-A eth0-root -s 192.168.230.186/32 -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Car les connexions depuis une ip locale vers une ip locale se fait toujours en loopback:

root@hapyneb:~# iptables -I INPUT -s 192.168.230.186/32 -p tcp --dport ssh -m state --state NEW -j LOG --log-prefix "INPUT SSH: " 
root@hapyneb:~# iptables -I FORWARD -s 192.168.230.186/32 -p tcp --dport ssh -m state --state NEW -j LOG --log-prefix "FORWARD SSH: " 
root@hapyneb:~# rgrep 'SSH:' /var/log/
/var/log/rsyslog/local/kernel/kernel.warning.log:Oct  6 17:08:24 hapyneb.dad.eole.lan kernel: [ 2637.037915] INPUT SSH: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.230.186 DST=192.168.230.186 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=29664 DF PROTO=TCP SPT=56192 DPT=22 WINDOW=43690 RES=0x00 SYN URGP=0

Les connexions sur la loopback sont toujours autorisées en entrée et en sortie.

#13 Updated by Philippe Caseiro over 6 years ago

  • Status changed from En cours to Résolu

Appliqué par commit eole-one-singlenode:commit:8f17c7457ea4dd8c780767ab6ca2642c5e951555.

#14 Updated by Daniel Dehennin over 6 years ago

  • Status changed from Résolu to En cours

#15 Updated by Daniel Dehennin over 6 years ago

  • Status changed from En cours to Résolu

Appliqué par commit eole-one-singlenode:commit:87a22ea902345b8118669c0b84d96197df3f16bb.

#16 Updated by Daniel Dehennin over 6 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.2 to 0.0

Also available in: Atom PDF