[gull] OpenSSH information de service
cedric briner
briner at infomaniak.ch
Thu Oct 4 16:39:45 CEST 2007
D'Inverno Jeremy wrote:
> Bonjour,
>
> Je souhaiterais, dans le cadre de la sécurisation d'un serveur,
> supprimer l'information du service ssh.
Un truc que j'aime assez, c'est de travailler avec /etc/hosts.{allow,deny}.
Pour que cela fonctionne, tu dis que tu autorises seulement les machines
avec une certaine adresse IP. Et si la personne qui veut acceder a ce
service a une adresse IP changeante. Tu n'as qu'a faire un script qui
une fois par minute resoud les FQDN. Dans mon cas, je demande aux
utilisateurs d'utiliser un service comme DynDns et de me donner le nom
qu'ils ont chez DynDns.
/etc/hosts.deny:
ALL:ALL
/etc/hosts.allow:
shd2:/etc/ssh_hosts.allow
/etc/ssh_hosts.toallow:
ma_machine.dyndns.org
ca_machine.selfip.org
...
et le script transforme ce ssh_hosts.toallow en ssh_hosts.allow
/etc/ssh_hosts.allow:
10.12.87.59
12.78.56.128
...
et le script:
#!/bin/bash
echo '#generated automatically from /etc/ssh_hosts.toallow'\
>/etc/ssh_hosts.allow.tmp
echo '# and used in /etc/hosts.allow'\
>>/etc/ssh_hosts.allow.tmp
cat /etc/ssh_hosts.toallow | \
while read line
do
echo '' >> /etc/ssh_hosts.allow.tmp
echo "#${line}" >> /etc/ssh_hosts.allow.tmp
ip=$(/usr/bin/host $line | grep 'has address' \
| /usr/bin/awk '{print $4 }')
if [ -z "$ip" ]
then
echo '#no ip found !' >> /etc/ssh_hosts.allow.tmp
else
echo $ip >> /etc/ssh_hosts.allow.tmp
fi
done
mv /etc/ssh_hosts.allow.tmp /etc/ssh_hosts.allow
mes deux sous.
Ced.
--
Cedric BRINER
23 ch. Salomon-PENAY | mel mailto:briner at infomaniak.ch
CH-1217 Meyrin | voip callto:41325106739 at sipcall.ch
|
| tel::maison: +41(0)32/510-6739
| tel::portable +41(0)78/665-9701
| tel::travail +41(0)22/379-2356
More information about the gull
mailing list