Bonjour,
Je voudrais que ma machine A (qui est accessible par toutes mes autres machines en ssh) ne puisse se connecter à aucune machine en ssh... pour éviter les rebonds...
Cela revient à interdire le client ssh? Ma question paraît très simple... mais je sèche.
Quelqu'un peut m'aider?
Je vois qu'à vérouiller le port 22 avec iptable mais il y a plus simple non? Et j'ai trop (enfin...) de machines pour modifier leur /etc/hosts.deny.
Merci.
Forum Linux.débutant [ SSH] interdire q'une machine se connecte sur d'autres
19
avr.
2006
# 2 possibilités
Posté par totof2000 . Évalué à 3.
[^] # Re: 2 possibilités
Posté par Olivier Jeannet . Évalué à 6.
Pour répondre à arn100, s'il s'agit d'interdire à la machine A de se connecter où que ce soit, le plus simple me paraît en effet d'empêcher l'exécution de la commande "ssh"; c'est faisable soit en enlevant le bit "x" du binaire (avec "chmod a-x /chemin/vers/ssh"), soit en le renommant.
[^] # Re: 2 possibilités
Posté par totof2000 . Évalué à 4.
Ca c'est une frappe un peu trop rapide (j'ai corrigé d'autres fautes avant de valider mais celle là est quand même passée)
pour le reste: merci du renseignement, j'éviterai d'utiliser cette expression à l'avenir).
# conf?
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 4.
Sinon, il y a peut-être un moyen d'interdire ssh en modifiant juste son fichier de config (/etc/ssh/ssh_config)
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: conf?
Posté par arn100 . Évalué à 1.
Je pensais interdire le port 22 en "sortie"...
Mais la solution d'Olivier me paraît inéressante : modifier les droits d'accès à ssh... à scp aussi du coup!
et puis... je n'ai trouvé de solution avec /etc/ssh/ssh_config....
merci encore.
[^] # Re: conf?
Posté par l'architecte . Évalué à 3.
chmod a+x ~/bin/ssh
--> retire aussi les droits en lecture; fais peut-être de même avec le compilateur pour ne pas qu'il se compile son ssh.
ssh -L 2222:B:22 user@A
(à côté)
ssh -p 2222 user2@localhost # en réalité se connecte à B grâce au port forwarding
--> bloque aussi le port 22 en sortie. Cela dit, quelqu'un pourrait vouloir lancer un serveur SSH sur un autre port s'il a un accès autre que via la machine A. Si tu es l'administrateur des machines dont tu veux bloquer l'accès, alors tu peux aussi bloquer en sortie les ports > 1024.
[^] # Re: conf?
Posté par totof2000 . Évalué à 2.
chmod a+x ~/bin/ssh
ce serait plutot chmod a-x non?
--> retire aussi les droits en lecture; fais peut-être de même avec le compilateur pour ne pas qu'il se compile son ssh.
Faudra qu'on m'expliqu l'intéret d'un compilateur sur ce genre de serveur .... a moins que ce soit une machine de developpement auquel cas il serait idiot d'interdire de compiler sur cette machine ....
[^] # Re: conf?
Posté par l'architecte . Évalué à 1.
# plus simple...
Posté par NeoX . Évalué à 1.
le daemon qui attent la connexion
le client qui permet de se connecter
il suffirait d'enlever le client pour que la machine en question puisse recevoir les connexions mais ne puisse pas en etablir ailleurs.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.