Re: 2 demons sshd ?

Pàgina inicial

Reply to this message
Autor: Olivier Allard-Jacquin
Data:  
A: guilde
Assumpte: Re: 2 demons sshd ?
    Bonsoir,

    je fais une double réponse :


Guillaume Allegre a écrit :
>> - autoriser les identifications par clé publique uniquement depuis
>> certaines IPs (très limitées)
>
>
> J'ai dit une bêtise là :
>> Avec sshd, la possibilité de restreindre l'écoute à certaines adresses
>> est prévue (#ListenAddress)
> En fait, ListenAddress concerne l'adresse locale en écoute, et non pas
> quelles adresses sont autorisées à entrer.
>
> Du coup, mon interrogation reste, mais je ne vois pas comment m'y
> prendre. Des idées ?


    Tu peux utiliser "xinetd" pour lancer sshd, avec comme paramétrage :


- 2 ports "serveurs" différents
- des listes d'adresses ou de plages IP

Steph a écrit :
> 3 - La solution des deux serveurs ?
> Deux serveur SSH sur deux ports différents sur la même machine (quid des
> fichiers de conf ?), ça doit être possible, mais à mon avis, pas
> conseillé...


    Là encore, xinetd le permet. En rajoutant la réponse d'Edgar avec le
paramètre "-f", cela nous donnerai quelque chose comme cela :


[root@phoenix ~]# cat /etc/xinetd.d/sshd-xinetd

# Premier service SSH (toutes les adresses IP autorisées)
service ssh
{
        id               = ssh:0
        port             = 22
        socket_type      = stream
        wait             = no
        user             = root
        server           = /usr/sbin/sshd -f /etc/ssh/sshd_config-0
        server_args      = -i
        log_on_success   += DURATION USERID
        log_on_failure   += USERID
        nice             = 10
        only_from        = 0.0.0.0
        disable          = no
}


# 2nd service SSH (port 21, certaines adresses IP autorisées)
service ssh
{
        id               = ssh:1
        port             = 21
        socket_type      = stream
        wait             = no
        user             = root
        server           = /usr/sbin/sshd -f /etc/ssh/sshd_config-1
        server_args      = -i
        log_on_success   += DURATION USERID
        log_on_failure   += USERID
        nice             = 10
        only_from        = 10.0.0.0/8
        disable          = no
}


    Et si il y a 2 cartes réseaux, on peut aussi jouer avec l'option "bind
= adresse IP carte réseau serveur".



    Pour plus d'infos :


http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-05.html#II-5-5

    A plus,


                            Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!