Projet

Général

Profil

Tâche #9024

Distribution EOLE - Scénario #9023: Module EOLE Nebula

Accès SSH pour lui même

Ajouté par Christophe LEON il y a plus de 9 ans. Mis à jour il y a plus de 9 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Philippe Caseiro
Version cible:
Distribution EOLE - sprint 2014 40-41
Début:
26/09/2014
Echéance:
% réalisé:

100%

Temps estimé:
6.00 h
Temps passé:
3.25 h
Restant à faire (heures):
0.0

Description

Il est nécessaire que la machine puisse faire un SSH sur elle même
il faudrait dans les règles d'accès SSH prévoir l'IP de la machine elle même

Révisions associées

Révision 4b562740 (diff)
Ajouté par Philippe Caseiro il y a plus de 9 ans

tmpl/sshd_config: Utilisation de virt_group plutôt que "virt_user"

Dans les nouveaux paquets le groupe est cloud et non plus oneadmin.
On utilise donc virt_group plutôt que virt_user pour le AllowGroups.

fixes #9024 @40m

Historique

#1 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Tâche parente mis à #9023

#2 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Temps estimé mis à 1.00 h

#3 Mis à jour par Daniel Dehennin il y a plus de 9 ans

  • Assigné à mis à Philippe Caseiro
  • Restant à faire (heures) mis à 1.0

#4 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Restant à faire (heures) changé de 1.0 à 6.0

Révaluation de la demande, bcp plus long que prévus

#5 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Temps estimé changé de 1.00 h à 6.00 h

#6 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

Appliqué par commit eole-one-singlenode:commit:2d8e3e6b44bc0c3746c40518b6cad99ff26fb9b4.

#7 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Restant à faire (heures) changé de 6.0 à 0.5

#8 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Statut changé de Résolu à En cours

#9 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Restant à faire (heures) changé de 0.5 à 1.0

#10 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Statut changé de En cours à Résolu

#11 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Restant à faire (heures) changé de 1.0 à 0.2

#12 Mis à jour par Daniel Dehennin il y a plus de 9 ans

  • Statut changé de Résolu à En cours

La règle suivante est inutile:

-A eth0-root -s 192.168.230.186/32 -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Car les connexions depuis une ip locale vers une ip locale se fait toujours en loopback:

root@hapyneb:~# iptables -I INPUT -s 192.168.230.186/32 -p tcp --dport ssh -m state --state NEW -j LOG --log-prefix "INPUT SSH: " 
root@hapyneb:~# iptables -I FORWARD -s 192.168.230.186/32 -p tcp --dport ssh -m state --state NEW -j LOG --log-prefix "FORWARD SSH: " 
root@hapyneb:~# rgrep 'SSH:' /var/log/
/var/log/rsyslog/local/kernel/kernel.warning.log:Oct  6 17:08:24 hapyneb.dad.eole.lan kernel: [ 2637.037915] INPUT SSH: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.230.186 DST=192.168.230.186 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=29664 DF PROTO=TCP SPT=56192 DPT=22 WINDOW=43690 RES=0x00 SYN URGP=0

Les connexions sur la loopback sont toujours autorisées en entrée et en sortie.

#13 Mis à jour par Philippe Caseiro il y a plus de 9 ans

  • Statut changé de En cours à Résolu

Appliqué par commit eole-one-singlenode:commit:8f17c7457ea4dd8c780767ab6ca2642c5e951555.

#14 Mis à jour par Daniel Dehennin il y a plus de 9 ans

  • Statut changé de Résolu à En cours

#15 Mis à jour par Daniel Dehennin il y a plus de 9 ans

  • Statut changé de En cours à Résolu

Appliqué par commit eole-one-singlenode:commit:87a22ea902345b8118669c0b84d96197df3f16bb.

#16 Mis à jour par Daniel Dehennin il y a plus de 9 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.2 à 0.0

Formats disponibles : Atom PDF