Projet

Général

Profil

Scénario #9965

Création redondante de ligne d'autorisation d'IP dans host.allow et IP indûment présentes

Ajouté par Thierry Jambou il y a plus de 9 ans. Mis à jour il y a plus de 9 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
Distribution EOLE - sprint 2015 2-4
Début:
05/12/2014
Echéance:
22/01/2015
% réalisé:

100%

Temps estimé:
(Total: 4.00 h)
Temps passé:
7.00 h (Total: 7.50 h)
Points de scénarios:
3.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:

Description

Lors de l'utilisation de tcpwrapper sur les services d'un essl dans era, plusieurs lignes d'autorisation pour une même IP sur un même service sont créées dans le host.allow

Copie d'un host.allow pour les services sshd et gen_config :

root@ssl24-pne-02:~# cat /etc/eole/hosts.allow 
##### begin: this file is generated by Era - do not edit #####
gen_config:192.168.250.0/255.255.255.224
sshd:192.168.250.0/255.255.255.224
gen_config:172.26.46.240/255.255.255.240Extrait
gen_config:172.20.41.38
gen_config:172.20.45.38
gen_config:172.20.46.38
gen_config:172.20.41.192
gen_config:172.20.41.157
gen_config:172.20.42.157
gen_config:172.20.43.157
gen_config:172.20.44.157
gen_config:172.20.41.1
gen_config:172.20.42.1
gen_config:172.20.43.1
gen_config:172.20.44.1
gen_config:172.20.41.69
gen_config:172.20.42.69
gen_config:172.20.43.69
gen_config:172.20.44.69
sshd:172.26.46.240/255.255.255.240Extrait
sshd:172.20.41.38
sshd:172.20.45.38
sshd:172.20.46.38
sshd:172.20.41.192
sshd:172.20.41.157
sshd:172.20.42.157
sshd:172.20.43.157
sshd:172.20.44.157
sshd:172.20.41.1
sshd:172.20.42.1
sshd:172.20.43.1
sshd:172.20.44.1
sshd:172.20.41.69
sshd:172.20.42.69
sshd:172.20.43.69
sshd:172.20.44.69
sshd:172.26.32.0/255.255.240.0
gen_config:172.26.32.0/255.255.240.0
gen_config:192.168.250.0/255.255.255.224
gen_config:172.26.46.240/255.255.255.240
gen_config:172.20.41.38
gen_config:172.20.45.38
gen_config:172.20.46.38
gen_config:172.20.41.192
gen_config:172.20.41.157
gen_config:172.20.42.157
gen_config:172.20.43.157
gen_config:172.20.44.157
gen_config:172.20.41.1
gen_config:172.20.42.1
gen_config:172.20.43.1
gen_config:172.20.44.1
gen_config:172.20.41.69
gen_config:172.20.42.69
gen_config:172.20.43.69
gen_config:172.20.44.69
gen_config:172.28.10.19
gen_config:172.28.10.25
gen_config:172.28.10.66
sshd:192.168.250.0/255.255.255.224
sshd:172.26.46.240/255.255.255.240
sshd:172.20.41.38
sshd:172.20.45.38
sshd:172.20.46.38
sshd:172.20.41.192
sshd:172.20.41.157
sshd:172.20.42.157
sshd:172.20.43.157
sshd:172.20.44.157
sshd:172.20.41.1
sshd:172.20.42.1
sshd:172.20.43.1
sshd:172.20.44.1
sshd:172.20.41.69
sshd:172.20.42.69
sshd:172.20.43.69
sshd:172.20.44.69
sshd:172.28.10.19
sshd:172.28.10.25
sshd:172.28.10.66
sshd:172.26.62.0/255.255.254.0
gen_config:172.26.62.0/255.255.254.0

Il semble qu'on rajoute des lignes pour chaque directive qui utilise le service pour une même extrémité

Plus délicat, on trouve des IPs qui n'ont rien à faire dans le host.allow semble t'il ... je m'explique :

- nous avons une directive qui autorise notre réseau (le PNESR) à accéder au bastion en ssh, donc on apparaît
- nous avons une autre directive qui autorise le même réseau à accéder au LAN du service, on réapparaît à nouveau, jusqu'ici cette redondance n'est pas gênante ...
- par-contre, il y a une directive qui autorise un autre réseau (le PNE environnement de travail) à accéder en ssh au Lan et seulement au Lan, le réseau apparaît aussi dans le host.allow et là c'est plus embêtant car ça veut dire que ce réseau peut au moins essayer de rentrer sur le bastion en ssh ... Il ne peut pas à cause (ou plutôt grâce) aux règles Iptables mais quand même ;-)

Merci d'avance

Sous-tâches

Tâche #10191: Prendre contact avec Thierry Jambou, pour plus de précisions sur leur modèle ERA.FerméGwenael Remond

Révisions associées

Révision c59955fd (diff)
Ajouté par Gwenael Remond il y a plus de 9 ans

Era pollue le hosts.allow en cas de directive qui n'est pas de type input

fixes #9965 @7h

Historique

#1 Mis à jour par Joël Cuissinat il y a plus de 9 ans

  • Temps estimé mis à 3.00 h
  • Tâche parente mis à #9969
  • Restant à faire (heures) mis à 3.0

#2 Mis à jour par Joël Cuissinat il y a plus de 9 ans

  • Description mis à jour (diff)

#3 Mis à jour par Joël Cuissinat il y a plus de 9 ans

  • Tâche parente #9969 supprimé

#4 Mis à jour par Joël Cuissinat il y a plus de 9 ans

  • Version cible sprint 2014 50-51 Eq 1 supprimé

#5 Mis à jour par Luc Bourdot il y a plus de 9 ans

  • Tracker changé de Tâche à Scénario
  • Echéance mis à 22/01/2015
  • Version cible mis à sprint 2015 2-4

#6 Mis à jour par Klaas TJEBBES il y a plus de 9 ans

  • Points de scénarios mis à 3.0

#7 Mis à jour par Gwenael Remond il y a plus de 9 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

#8 Mis à jour par Gwenael Remond il y a plus de 9 ans

  • Assigné à mis à Gwenael Remond

#9 Mis à jour par Joël Cuissinat il y a plus de 9 ans

  • Statut changé de Résolu à Terminé (Sprint)
  • Assigné à Gwenael Remond supprimé

#10 Mis à jour par Joël Cuissinat il y a plus de 9 ans

  • Statut changé de Terminé (Sprint) à En cours

#11 Mis à jour par Joël Cuissinat il y a plus de 9 ans

  • Statut changé de En cours à Terminé (Sprint)

Formats disponibles : Atom PDF