Projet

Général

Profil

Scénario #9965

Mis à jour par Joël Cuissinat il y a plus de 9 ans

Lors de l'utilisation de tcpwrapper sur les services d'un essl dans era, plusieurs lignes d'autorisation pour une même IP sur un même service sont créées dans le host.allow

Copie d'un host.allow pour les services sshd et gen_config :

<pre>
================================
root@ssl24-pne-02:~# cat /etc/eole/hosts.allow
##### begin: this file is generated by Era - do not edit #####
gen_config:192.168.250.0/255.255.255.224
sshd:192.168.250.0/255.255.255.224
gen_config:172.26.46.240/255.255.255.240Extrait
gen_config:172.20.41.38
gen_config:172.20.45.38
gen_config:172.20.46.38
gen_config:172.20.41.192
gen_config:172.20.41.157
gen_config:172.20.42.157
gen_config:172.20.43.157
gen_config:172.20.44.157
gen_config:172.20.41.1
gen_config:172.20.42.1
gen_config:172.20.43.1
gen_config:172.20.44.1
gen_config:172.20.41.69
gen_config:172.20.42.69
gen_config:172.20.43.69
gen_config:172.20.44.69
sshd:172.26.46.240/255.255.255.240Extrait
sshd:172.20.41.38
sshd:172.20.45.38
sshd:172.20.46.38
sshd:172.20.41.192
sshd:172.20.41.157
sshd:172.20.42.157
sshd:172.20.43.157
sshd:172.20.44.157
sshd:172.20.41.1
sshd:172.20.42.1
sshd:172.20.43.1
sshd:172.20.44.1
sshd:172.20.41.69
sshd:172.20.42.69
sshd:172.20.43.69
sshd:172.20.44.69
sshd:172.26.32.0/255.255.240.0
gen_config:172.26.32.0/255.255.240.0
gen_config:192.168.250.0/255.255.255.224
gen_config:172.26.46.240/255.255.255.240
gen_config:172.20.41.38
gen_config:172.20.45.38
gen_config:172.20.46.38
gen_config:172.20.41.192
gen_config:172.20.41.157
gen_config:172.20.42.157
gen_config:172.20.43.157
gen_config:172.20.44.157
gen_config:172.20.41.1
gen_config:172.20.42.1
gen_config:172.20.43.1
gen_config:172.20.44.1
gen_config:172.20.41.69
gen_config:172.20.42.69
gen_config:172.20.43.69
gen_config:172.20.44.69
gen_config:172.28.10.19
gen_config:172.28.10.25
gen_config:172.28.10.66
sshd:192.168.250.0/255.255.255.224
sshd:172.26.46.240/255.255.255.240
sshd:172.20.41.38
sshd:172.20.45.38
sshd:172.20.46.38
sshd:172.20.41.192
sshd:172.20.41.157
sshd:172.20.42.157
sshd:172.20.43.157
sshd:172.20.44.157
sshd:172.20.41.1
sshd:172.20.42.1
sshd:172.20.43.1
sshd:172.20.44.1
sshd:172.20.41.69
sshd:172.20.42.69
sshd:172.20.43.69
sshd:172.20.44.69
sshd:172.28.10.19
sshd:172.28.10.25
sshd:172.28.10.66
sshd:172.26.62.0/255.255.254.0
gen_config:172.26.62.0/255.255.254.0
</pre>

======================================
Il semble qu'on rajoute des lignes pour chaque directive qui utilise le service pour une même extrémité

Plus délicat, on trouve des IPs qui n'ont rien à faire dans le host.allow semble t'il ... je m'explique :

- nous avons une directive qui autorise notre réseau (le PNESR) à accéder accèder au bastion en ssh, donc on apparaît
- nous avons une autre directive qui autorise le même réseau à accéder accèder au LAN du service, on réapparaît réapparait à nouveau, jusqu'ici cette redondance n'est pas gênante ...
- par-contre, il y a une directive qui autorise un autre réseau (le PNE environnement de travail) à accéder accèder en ssh au Lan et seulement au Lan, le réseau apparaît aussi dans le host.allow et là c'est plus embêtant car ça veut dire que ce réseau peut au moins essayer de rentrer sur le bastion en ssh ... Il ne peut pas à cause (ou plutôt grâce) grace) aux règles Iptables mais quand même ;-)

Merci d'avance

Retour