subject:"Re\: sshd"

Re: sshd

2006-11-16 Par sujet De Leeuw Guy

Merci, pour ta réponse

Non j'ai trouvé, l'emplacement des clefs root sont dans des endroits
différents entre rh et debian.
Guy

François Boisson a écrit :
> Le Wed, 15 Nov 2006 16:07:59 +0100
> De Leeuw Guy <[EMAIL PROTECTED]> a écrit:
>
>   
>> Bonjour à tous
>>
>> Nous avons migrer complètement un serveur ia64 sou RH vers debian.
>> Tout fonctionne actuellement, excepté l'accès au serveur de backup, qui
>> lui tourne sous une mandrake 9.2
>> un ssh classique fonctionne (avec password).
>> Mais quand j'essaie d'activer l'authentification par clefs publique  le
>> serveur refuse de m'authentifier.
>> Je n'ai rien changer dans la configuration du serveur.
>> Est il possible que cela ne fonctionne plus du à une version trop
>> ancienne de openssh ?
>> je rame depuis deux jours si qqun à une idée elle est welcome :-)
>>
>> 
>
> Ça n'est pas une histoire de protocole de ssh (il y a deux versions, la
> 2 est prise par défaut sur les clients)??
>
> François Boisson
>
>   
>> Merci d'avance
>>
>> Guy
>>
>>  
>>
>>
>> -- 
>> Lisez la FAQ de la liste avant de poser une question :
>> http://wiki.debian.net/?DebianFrench   
>> Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
>> "Reply-To:"
>>
>> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
>> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
>>
>> 
>
>
>   


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: sshd

2006-11-15 Par sujet François Boisson

Le Wed, 15 Nov 2006 16:07:59 +0100
De Leeuw Guy <[EMAIL PROTECTED]> a écrit:

> Bonjour à tous
> 
> Nous avons migrer complètement un serveur ia64 sou RH vers debian.
> Tout fonctionne actuellement, excepté l'accès au serveur de backup, qui
> lui tourne sous une mandrake 9.2
> un ssh classique fonctionne (avec password).
> Mais quand j'essaie d'activer l'authentification par clefs publique  le
> serveur refuse de m'authentifier.
> Je n'ai rien changer dans la configuration du serveur.
> Est il possible que cela ne fonctionne plus du à une version trop
> ancienne de openssh ?
> je rame depuis deux jours si qqun à une idée elle est welcome :-)
> 

Ça n'est pas une histoire de protocole de ssh (il y a deux versions, la
2 est prise par défaut sur les clients)??

François Boisson

> Merci d'avance
> 
> Guy
> 
>  
> 
> 
> -- 
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.net/?DebianFrench   
> Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
> "Reply-To:"
> 
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: sshd

2004-12-27 Par sujet Raphaël 'SurcouF' Bordet

Le vendredi 24 décembre 2004 à 12:53 +0100, Georges Roux a écrit :
> Voila, des imbéciles font tourner des scripts ( 1 par minute, je suppose 
> dans une crontab )
> et essayent d'acceder au serveur mimosa via ssh, bon ils se font jeter 
> parceque root.
> cependant dans leur script ils essaient plusieurs users successivement 
> au cas ou un user seraient aussi sudoer.
> 
> extrait de auth.log:

[...]

> Je dit ils parceque IP n'est pas fixe.
> 
> Ma question, comment faire pour interdire l'acces total a une IP dont 
> l'authentification a echoué plus de 20 fois.
> genre la mettre dans host.deny, y a t'il un script ou une configuration 
> de ssh qui le fasse?

Portsentry est sans doute l'arme qu'il te faut:
http://packages.debian.org/unstable/net/portsentry

-- 
Raphaël 'SurcouF' Bordet
http://debianfr.net/ | surcouf at debianfr dot net

Re: sshd

2004-12-24 Par sujet pascal


Jacques L'helgoualc'h a écrit :


Les 3 IP citées sont en Chine (2) et en Hollande ...

Bonnes fêtes,


Oui...C'est l'auteur du mail qui était en côte d'ivoire...
Bonnes fêtes à tous
Pascal
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan

Re: sshd

2004-12-24 Par sujet Jacques L'helgoualc'h

Bonjour,

Georges Roux a écrit, vendredi 24 décembre 2004, à 15:22 :
[...]
> #!/bin/bash
> #banip.sh
> 
> BANNEDIP="ALL: "
> COUNT=`sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: | 
> cut -d ':' -f 4 | sort -u | wc -l`

Compter les IP différentes n'est pas  très utile pour tester -gt 0 ?  On
peut aussi éviter  le recours à sudo en utilisant le  groupe (adm ?) qui
peut lire les auth.log.

COUNT="$(grep -c -F Failed /var/log/auth.log)"

On peut  aussi se passer  de COUNT, et  tester si la liste  BANNEDIP est
vide avant d'allonger hosts.deny.

> if [ "$COUNT" -gt 0 ]
>  then
>  for IP in `sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: 
>  | cut -d ':' -f 4 | sort -u`
>do
>  BANNEDIP="$BANNEDIP $IP,";
>done
> else BANNEDIP=""
> fi
> echo $BANNEDIP >> /etc/hosts.deny
> 
> 
> et je met ca dans ma crontab bon il doit y avoir encore plein de truc a 
> corriger

Le else  est inutile, et  le echo  final peut remonter  à la fin  du if,
après la boucle for. Cet echo doit être fait sous root ;)

Il  faudrait supprimer les  doublons avec  les IP  déjà bannies  dans un
fichier banned_ips, puis régénérer le hosts.deny à l'aide d'un fichier
hosts.deny.proto.

En cas  d'IP dynamique, ça ne  servira pas beaucoup  de garder longtemps
des IP précises ; il est  peut-être plus facile de déterminer les IP, ou
plages d'IP, autorisées à se connecter par iptables ou/et ssh.

> le script prend l'ip avec un seul acces rejeté pour le moment
> et je pense qu'avec awk on pourrais faire mieux

#!/usr/bin/awk -f
BEGIN{ max_fail=10 }
/Failed password/{ n[$13]++ }
# on pourrait vérifier si $13 ressemble à une IP, et/ou
# numéroter de droite à gauche, ici : $13 = $(NF - 3)
END {
for (x in n) {
if(n[x] > max_fail) { print x }
# ou : print x" \t"n[x] pour voir le score
}
}

> pascal wrote:
> 
> >Bonjour!
> >C'est étrange c'est le même genre d'attaque que celle décrite dans un 
> >mail précédent qui provenait de ...côte d'ivoire!

Les 3 IP citées sont en Chine (2) et en Hollande ...

Bonnes fêtes,
-- 
Jacques L'helgoualc'h

Re: sshd

2004-12-24 Par sujet pascal


Georges Roux a écrit :

IBM C'est gratuit? j'ai bien netfilter, mais j'ai aussi hosts.deny hehe
et les scripts kiddies non pas le monopole du script pas cher
Alors j'ai fait un script qui ecrit les ip des accés Failed de auth.log 
dans /etc/hosts.deny


Bien...Alors quel était l'intéret de ta question ?
Pascal
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan

Re: sshd

2004-12-24 Par sujet Georges Roux


IBM C'est gratuit? j'ai bien netfilter, mais j'ai aussi hosts.deny hehe
et les scripts kiddies non pas le monopole du script pas cher
Alors j'ai fait un script qui ecrit les ip des accés Failed de auth.log 
dans /etc/hosts.deny


#!/bin/bash
#banip.sh

BANNEDIP="ALL: "
COUNT=`sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: | cut -d 
':' -f 4 | sort -u | wc -l`
if [ "$COUNT" -gt 0 ]
 then
 for IP in `sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: | 
cut -d ':' -f 4 | sort -u`
   do
 BANNEDIP="$BANNEDIP $IP,";
   done
else BANNEDIP=""
fi
echo $BANNEDIP >> /etc/hosts.deny


et je met ca dans ma crontab bon il doit y avoir encore plein de truc a 
corriger

le script prend l'ip avec un seul acces rejeté pour le moment
et je pense qu'avec awk on pourrais faire mieux
Je suis preneur de toute remarque ou idée constructive


Georges
PS: Surveillez vos auth.log

pascal wrote:


Bonjour!
C'est étrange c'est le même genre d'attaque que celle décrite dans un 
mail précédent qui provenait de ...côte d'ivoire!
L'attaque contre ssh2 en cette fin d'année serait elle devenue 
brusquement à la mode  chez les scripts kiddies ?
Pour répondre à ta question il y a un tutoriel pas mal (si tu as 
netfilter) qui est une bonne (je trouve) introduction à la notion de 
"pare-feu réactif" (concept dangereux) :

http://www-128.ibm.com/developerworks/edu/l-dw-linuxfw-i.html
C'est gratuit mais il faut juste s'inscrire chez ibm.
Voilà.
Pascal...Qui va aller regarder ses fichiers auth...

Re: sshd

2004-12-24 Par sujet pascal


Georges Roux a écrit :
Voila, des imbéciles font tourner des scripts ( 1 par minute, je suppose 
dans une crontab )
et essayent d'acceder au serveur mimosa via ssh, bon ils se font jeter 
parceque root.
cependant dans leur script ils essaient plusieurs users successivement 
au cas ou un user seraient aussi sudoer.


extrait de auth.log:

Dec 20 02:07:10 mimosa sshd[7519]: Failed password for illegal user test 
from :::219.239.239.235 port 42748 ssh2
Dec 20 02:07:23 mimosa sshd[7521]: Failed password for illegal user 
guest from :::219.239.239.235 port 42800 ssh2
Dec 21 10:13:48 mimosa sshd[24814]: Failed password for illegal user 
test from :::60.31.216.55 port 43156 ssh2
Dec 21 10:13:57 mimosa sshd[24816]: Failed password for illegal user 
guest from :::60.31.216.55 port 43220 ssh2
Dec 21 10:14:00 mimosa sshd[24818]: Failed password for illegal user 
admin from :::60.31.216.55 port 43351 ssh2
Dec 21 10:14:04 mimosa sshd[24820]: Failed password for illegal user 
admin from :::60.31.216.55 port 43409 ssh2
Dec 21 10:14:11 mimosa sshd[24822]: Failed password for illegal user 
user from :::60.31.216.55 port 43459 ssh2
Dec 21 10:14:15 mimosa sshd[24824]: Failed password for illegal user 
root from :::60.31.216.55 port 43575 ssh2
Dec 21 10:14:19 mimosa sshd[24826]: Failed password for illegal user 
root from :::60.31.216.55 port 43633 ssh2
Dec 21 10:14:23 mimosa sshd[24828]: Failed password for illegal user 
root from :::60.31.216.55 port 43695 ssh2
Dec 21 10:14:29 mimosa sshd[24830]: Failed password for illegal user 
test from :::60.31.216.55 port 43748 ssh2
Dec 21 17:07:38 mimosa sshd[27987]: Failed password for illegal user 
jordan from :::194.109.122.4 port 3845 ssh2
Dec 21 17:07:39 mimosa sshd[27989]: Failed password for illegal user 
michael from :::194.109.122.4 port 3865 ssh2
Dec 21 17:07:40 mimosa sshd[27991]: Failed password for illegal user 
nicole from :::194.109.122.4 port 3883 ssh2
Dec 21 17:07:41 mimosa sshd[27993]: Failed password for illegal user 
daniel from :::194.109.122.4 port 3904 ssh2
Dec 21 17:07:42 mimosa sshd[27995]: Failed password for illegal user 
andrew from :::194.109.122.4 port 3925 ssh2
Dec 21 17:07:44 mimosa sshd[27997]: Failed password for illegal user 
nathan from :::194.109.122.4 port 3944 ssh2
Dec 21 17:07:45 mimosa sshd[27999]: Failed password for illegal user 
matthew from :::194.109.122.4 port 3967 ssh2
Dec 21 17:07:46 mimosa sshd[28001]: Failed password for illegal user 
magic from :::194.109.122.4 port 3989 ssh2
Dec 21 17:07:47 mimosa sshd[28003]: Failed password for illegal user 
lion from :::194.109.122.4 port 4009 ssh2


Je dit ils parceque IP n'est pas fixe.

Ma question, comment faire pour interdire l'acces total a une IP dont 
l'authentification a echoué plus de 20 fois.
genre la mettre dans host.deny, y a t'il un script ou une configuration 
de ssh qui le fasse?


Georges



Bonjour!
C'est étrange c'est le même genre d'attaque que celle décrite dans un 
mail précédent qui provenait de ...côte d'ivoire!
L'attaque contre ssh2 en cette fin d'année serait elle devenue 
brusquement à la mode  chez les scripts kiddies ?
Pour répondre à ta question il y a un tutoriel pas mal (si tu as 
netfilter) qui est une bonne (je trouve) introduction à la notion de 
"pare-feu réactif" (concept dangereux) :

http://www-128.ibm.com/developerworks/edu/l-dw-linuxfw-i.html
C'est gratuit mais il faut juste s'inscrire chez ibm.
Voilà.
Pascal...Qui va aller regarder ses fichiers auth...
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan

Re: [SSHD] ssh connection refused

2004-10-18 Par sujet k13

Le dimanche 17 Octobre 2004 15:52, k13 a écrit :
> Bonjours A TOUS
> 
> Voilà, je souhaiterai créé un serveur sshd accessible à partir d'internet,
> je possède un routeur, qui me connecte à internet et une Sarge i386.
> voici ma config actuel (qui ne fonctionne pas pour internet)
> 
> -
> cat /etc/ssh/sshd_config
> # Package generated configuration file
> # See the sshd(8) manpage for details
> 
> # What ports, IPs and protocols we listen for
> Port 2025
> # Use these options to restrict which interfaces/protocols sshd will bind to
> #ListenAddress ::
> #ListenAddress 0.0.0.0
> Protocol 2
> AllowTcpForwarding yes
> AllowUsers k13
> GatewayPorts yes
> # HostKeys for protocol version 2
> HostKey /etc/ssh/ssh_host_rsa_key
> HostKey /etc/ssh/ssh_host_dsa_key
> #Privilege Separation is turned on for security
> UsePrivilegeSeparation yes
> 
> # Lifetime and size of ephemeral version 1 server key
> KeyRegenerationInterval 3600
> ServerKeyBits 768
> 
> # Logging
> SyslogFacility AUTH
> LogLevel INFO
> 
> # Authentication:
> LoginGraceTime 600
> PermitRootLogin no
> StrictModes yes
> 
> RSAAuthentication yes
> PubkeyAuthentication yes
> #AuthorizedKeysFile %h/.ssh/authorized_keys
> 
> # Don't read the user's ~/.rhosts and ~/.shosts files
> IgnoreRhosts yes
> # For this to work you will also need host keys in /etc/ssh_known_hosts
> RhostsRSAAuthentication no
> # similar for protocol version 2
> HostbasedAuthentication no
> # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
> #IgnoreUserKnownHosts yes
> 
> # To enable empty passwords, change to yes (NOT RECOMMENDED)
> PermitEmptyPasswords no
> 
> # Change to no to disable s/key passwords
> #ChallengeResponseAuthentication yes
> 
> # Change to yes to enable tunnelled clear text passwords
> PasswordAuthentication no
> 
> 
> # To change Kerberos options
> #KerberosAuthentication no
> #KerberosOrLocalPasswd yes
> #AFSTokenPassing no
> #KerberosTicketCleanup no
> 
> # Kerberos TGT Passing does only work with the AFS kaserver
> #KerberosTgtPassing yes
> 
> X11Forwarding no
> X11DisplayOffset 10
> PrintMotd no
> PrintLastLog yes
> KeepAlive yes
> UseLogin no
> 
> #MaxStartups 10:30:60
> Banner /etc/issue.net
> 
> Subsystem   sftp/usr/lib/sftp-server
> 
> UsePAM yes
> 
> -
> 
> et voici le problème:
> 
> ssh [EMAIL PROTECTED] -p 2025 #sa marche
> 
> ssh [EMAIL PROTECTED] -p 2025 # XXX ip du routeur 
> ssh: connect to host 83.165.87.111 port 2025: Connection refused
> 
> 
> Alors voilà j'aurais aimé savoir si ma configue marche sur internet car si 
> c'est le cas 
> c'est mon routeur que je dois configuré.
> ou si sa ne marche pas et qu'elles sont les champs à changé ou à rajouter...
> 
> Merci

Mon routeur est un Sagem [EMAIL PROTECTED] 1400w fournit par Tiscali lors de 
l'achat du pack Wifi
 mon probleme est le suivant :S
  j'ai créé 2 NAT sur mon routeur pour le port 2025 en TCP et UDP qui redirige 
vers mon serveur
  j'ai desactivé mon Firewall mais rien n'y fais :S
 je sais que se routeur a eu des problemes au niveau des ouverture de port 
(avec IRC)
 j'ai déja réussi a le faire marché :S mais c'été avec une autre firewarm...

 log routeur:
Local IPRemote IPLocal port   Remote port   Protocol   Inbound packets  
 Outbound packets   Packets Dropped   NATFW
192.168.1.2   83.165.87.111   333922025 61  10
Disable3
192.168.1.2  83.165.87.111  33393   20256   1 1   0   Disable   3
192.168.1.2  83.165.87.111  33394   20256   1 1   0   Disable   3

le NAT est disabled :S je ne comprend pas pourquoi...

Re: [SSHD] ssh connection refused

2004-10-17 Par sujet hatchetman

Le dim 17/10/2004 à 15:52, k13 a écrit :
> Bonjours A TOUS
> 
> Voilà, je souhaiterai créé un serveur sshd accessible à partir d'internet,
> je possède un routeur, qui me connecte à internet et une Sarge i386.
> voici ma config actuel (qui ne fonctionne pas pour internet)
> 
> -
> cat /etc/ssh/sshd_config
> # Package generated configuration file
> # See the sshd(8) manpage for details
> 
> # What ports, IPs and protocols we listen for
> Port 2025
> # Use these options to restrict which interfaces/protocols sshd will bind to
> #ListenAddress ::
> #ListenAddress 0.0.0.0
> Protocol 2
> AllowTcpForwarding yes
> AllowUsers k13
> GatewayPorts yes
> # HostKeys for protocol version 2
> HostKey /etc/ssh/ssh_host_rsa_key
> HostKey /etc/ssh/ssh_host_dsa_key
> #Privilege Separation is turned on for security
> UsePrivilegeSeparation yes
> 
> # Lifetime and size of ephemeral version 1 server key
> KeyRegenerationInterval 3600
> ServerKeyBits 768
> 
> # Logging
> SyslogFacility AUTH
> LogLevel INFO
> 
> # Authentication:
> LoginGraceTime 600
> PermitRootLogin no
> StrictModes yes
> 
> RSAAuthentication yes
> PubkeyAuthentication yes
> #AuthorizedKeysFile %h/.ssh/authorized_keys
> 
> # Don't read the user's ~/.rhosts and ~/.shosts files
> IgnoreRhosts yes
> # For this to work you will also need host keys in /etc/ssh_known_hosts
> RhostsRSAAuthentication no
> # similar for protocol version 2
> HostbasedAuthentication no
> # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
> #IgnoreUserKnownHosts yes
> 
> # To enable empty passwords, change to yes (NOT RECOMMENDED)
> PermitEmptyPasswords no
> 
> # Change to no to disable s/key passwords
> #ChallengeResponseAuthentication yes
> 
> # Change to yes to enable tunnelled clear text passwords
> PasswordAuthentication no
> 
> 
> # To change Kerberos options
> #KerberosAuthentication no
> #KerberosOrLocalPasswd yes
> #AFSTokenPassing no
> #KerberosTicketCleanup no
> 
> # Kerberos TGT Passing does only work with the AFS kaserver
> #KerberosTgtPassing yes
> 
> X11Forwarding no
> X11DisplayOffset 10
> PrintMotd no
> PrintLastLog yes
> KeepAlive yes
> UseLogin no
> 
> #MaxStartups 10:30:60
> Banner /etc/issue.net
> 
> Subsystem   sftp/usr/lib/sftp-server
> 
> UsePAM yes
> 
> -
> 
> et voici le problème:
> 
> ssh [EMAIL PROTECTED] -p 2025 #sa marche
> 
> ssh [EMAIL PROTECTED] -p 2025 # XXX ip du routeur 
> ssh: connect to host 83.165.87.111 port 2025: Connection refused
> 
> 
> Alors voilà j'aurais aimé savoir si ma configue marche sur internet car si 
> c'est le cas 
> c'est mon routeur que je dois configuré.
> ou si sa ne marche pas et qu'elles sont les champs à changé ou à rajouter...
> 
> Merci
> 

Ca marche en localhost, donc le server est bien configuré.
Mais de l'internet, tu dois atteindre ton serveur A TRAVERS le routeur.
Il y a donc bien un config du routeur à effectuer.

Pour cela deux solutions :
1) Tu fais du port forwarding du routeur vers ton serveur sur le port
2025.

2) Tu déclare ton serveur en DMZ, c'est à dire que toute requête
internet sera routée vers lui par défaut.
Personnellement, j'utilise cette dernière solution et je gère ensuite
les accès par netfilter/iptables.

Tchô,

Hatch

PS : c'est quoi comme routeur ?

Re: [SSHD] ssh connection refused

2004-10-17 Par sujet Abred

Bonjour,

Tu peux peut-être essayer de commenter 
UseLogin no
#UseLogin no
et de relancer sshd

Peut-être regarder aussi /etc/pam.d/ssh mais je n'y crois pas trop, a
mon avis, si commenter UseLogin ne change rien il faut configurer le
routeur.


Le dim 17/10/2004 à 15:52, k13 a écrit :
> Bonjours A TOUS
> 
> Voilà, je souhaiterai créé un serveur sshd accessible à partir d'internet,
> je possède un routeur, qui me connecte à internet et une Sarge i386.
> voici ma config actuel (qui ne fonctionne pas pour internet)
> 
> -
> cat /etc/ssh/sshd_config
> # Package generated configuration file
> # See the sshd(8) manpage for details
> 
> # What ports, IPs and protocols we listen for
> Port 2025
> # Use these options to restrict which interfaces/protocols sshd will bind to
> #ListenAddress ::
> #ListenAddress 0.0.0.0
> Protocol 2
> AllowTcpForwarding yes
> AllowUsers k13
> GatewayPorts yes
> # HostKeys for protocol version 2
> HostKey /etc/ssh/ssh_host_rsa_key
> HostKey /etc/ssh/ssh_host_dsa_key
> #Privilege Separation is turned on for security
> UsePrivilegeSeparation yes
> 
> # Lifetime and size of ephemeral version 1 server key
> KeyRegenerationInterval 3600
> ServerKeyBits 768
> 
> # Logging
> SyslogFacility AUTH
> LogLevel INFO
> 
> # Authentication:
> LoginGraceTime 600
> PermitRootLogin no
> StrictModes yes
> 
> RSAAuthentication yes
> PubkeyAuthentication yes
> #AuthorizedKeysFile %h/.ssh/authorized_keys
> 
> # Don't read the user's ~/.rhosts and ~/.shosts files
> IgnoreRhosts yes
> # For this to work you will also need host keys in /etc/ssh_known_hosts
> RhostsRSAAuthentication no
> # similar for protocol version 2
> HostbasedAuthentication no
> # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
> #IgnoreUserKnownHosts yes
> 
> # To enable empty passwords, change to yes (NOT RECOMMENDED)
> PermitEmptyPasswords no
> 
> # Change to no to disable s/key passwords
> #ChallengeResponseAuthentication yes
> 
> # Change to yes to enable tunnelled clear text passwords
> PasswordAuthentication no
> 
> 
> # To change Kerberos options
> #KerberosAuthentication no
> #KerberosOrLocalPasswd yes
> #AFSTokenPassing no
> #KerberosTicketCleanup no
> 
> # Kerberos TGT Passing does only work with the AFS kaserver
> #KerberosTgtPassing yes
> 
> X11Forwarding no
> X11DisplayOffset 10
> PrintMotd no
> PrintLastLog yes
> KeepAlive yes
> UseLogin no
> 
> #MaxStartups 10:30:60
> Banner /etc/issue.net
> 
> Subsystem   sftp/usr/lib/sftp-server
> 
> UsePAM yes
> 
> -
> 
> et voici le problème:
> 
> ssh [EMAIL PROTECTED] -p 2025 #sa marche
> 
> ssh [EMAIL PROTECTED] -p 2025 # XXX ip du routeur 
> ssh: connect to host 83.165.87.111 port 2025: Connection refused
> 
> 
> Alors voilà j'aurais aimé savoir si ma configue marche sur internet car si 
> c'est le cas 
> c'est mon routeur que je dois configuré.
> ou si sa ne marche pas et qu'elles sont les champs à changé ou à rajouter...
> 
> Merci
>

Re: sshd

2004-03-21 Par sujet Auzanneau Gregory



jc a écrit :
> Salut,
> 
>   j'ai deux cartes réseaux eth0 et eth1, je suis en sid.
>   Comment faire faire écouter sshd uniquement sur eth1 ?
> 


man sshd_config 5

 ListenAddress
Specifies the local addresses sshd should listen on.  The following
forms may be used:

   ListenAddress host|IPv4_addr|IPv6_addr
   ListenAddress host|IPv4_addr:port
   ListenAddress [host|IPv6_addr]:port

If port is not specified, sshd will listen on the address and all prior
Port options specified.  The default is to listen on all
local addresses.  Multiple ListenAddress options are permitted.
Additionally, any Port options must precede this option for non
port qualified addresses.


Voilà, tu devrais trouver ton bonheur avec ListenAddress. Il est obligé
de spécifier l'adresse ip de la carte réseau, et non la carte réseau en
elle meme. L'autre possibilité pour bloquer sshd sur une carte réseau
est de le bloquer judicieusement avec iptables.



En esperant t'avoir aidé.

-- 
Auzanneau Grégory
GPG 0x99137BEE


signature.asc
Description: OpenPGP digital signature

Re: sshd

2004-03-20 Par sujet Laurent DIEUDONNE

Le Dimanche 21 Mars 2004 00:29, jc a écrit :
> Salut,
>
>   j'ai deux cartes réseaux eth0 et eth1, je suis en sid.
>   Comment faire faire écouter sshd uniquement sur eth1 ?

Peut-etre en jouant sur hosts.allow / deny ? Si tu as 2 cartes, tu 
devrais avoir 2 sous-reseaux et donc pouvoir interdire certains
services sur un sous reseau et les autoriser sur l'autre...

Laurent

Re : sshd

2004-03-20 Par sujet Jean-Luc Coulon (f5ibh)


Le 21.03.2004 00:29, jc a écrit :

Salut,

j'ai deux cartes réseaux eth0 et eth1, je suis en sid.
Comment faire faire écouter sshd uniquement sur eth1 ?


Voir dans le fichier :
/etc/ssh/sshd_config

le paramètre :

ListenAddress 0.0.0.0

--
- Jean-Luc


pgpJrerptuOyB.pgp
Description: PGP signature

Re: sshd

Re: sshd

Re: sshd

Re: sshd

Re: sshd

Re: sshd

Re: sshd

Re: sshd

Re: [SSHD] ssh connection refused

Re: [SSHD] ssh connection refused

Re: [SSHD] ssh connection refused

Re: sshd

Re: sshd

Re : sshd

14 matches

Site Navigation

Mail list logo

Footer information