La Fibre
Télécom => Logiciels et systèmes d'exploitation => 
Linux (usage serveur) => Discussion démarrée par: vivien le 16 février 2017 à 18:12:06
-
SSH est souvent utilisé pour de l'administration et je trouve intéressant de limite la surface d'attaque en limitant l'écoute au seul protocole IPv6, avec une adresse bien déterminée.
Le fichier de configuration /etc/ssh/sshd_config permet de limiter l'écoute de SSH à un réseau d'administration, quand le serveur à plusieurs IP
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Je cherche a désactiver toute écoute en IPv4. Supprimer la ligne #ListenAddress :: ne change rien, car c'est une ligne commenté et par défaut, SSH écoute en IPv4 et en IPv6, sur toutes les IP du serveur.
La partie du manuel pour ListenAddress :
ListenAddress
Spécifie l'adresse locale d'écoute sur laquelle le démon sshd doit attendre les connexions. On peut utiliser les formes suivantes :
ListenAddress
host | IPv4_addr | IPv6_addr
ListenAddress
host | IPv4_addr : port
ListenAddress
[host | IPv6_addr : port ]
Si port n'est pas spécifié, le démon sshd écoute sur l'adresse et toutes les options Port spécifiées au préalable. Par défaut, on écoute sur toutes les adresses locales. On peut spécifier de multiples options ListenAddress En outre, toute option Port doit précéder cette option pour les adresses sans port spécifié.
Certains vieux tutoriels parlent de rajouter "AddressFamily" :
AddressFamily any # default
AddressFamily inet # IPv4 only
AddressFamily inet6 # IPv6 only
Problème : AddressFamily n’apparaît pas dans le manuel.
Bref, je suis preneur d'une solution propre pour ne pas écouter en IPv4 (sans spécifier une IPv4 qui n'existe pas sur le serveur, ni utiliser iptables).
-
Tu as essayé "ListenAddress ::"?
-
ListenAddress :: => autorise la connexion IPv6 sur toutes les IP
ListenAddress 0.0.0.0 => autorise la connexion IPv4 sur toutes les IP
Commenter ces lignes ne sert à rien car par défaut, sshd écoute en IPv4 et IPv6 sur toutes les IP.
-
Je suppose qu'on peut lancer le serveur avec l'option "-6" (Forces sshd to use IPv6 addresses only.), mais c'est le genre d'option qu'on ne remarque plus après (n'est pas dans le fichier de configuration).
AddressFamily apparaît sur http://man.openbsd.org/sshd_config et dans les manpages de Ubuntu Trusty (OpenSSH_6.6.1p1) ou Ubuntu Xenial (OpenSSH_7.2p2).
Quelle version as-tu ?
Au pire, ListenAddress 127.0.0.1 n’apparaîtrait pas trop inélégant, trouvé-je.
-
ListenAddress :: => autorise la connexion IPv6 sur toutes les IP
Ce n'est pas ce que tu veux?
-
Par exemple:
2% 1z [jack@jack:~] 148cat /etc/default/ssh
# Default settings for openssh-server. This file is sourced by /bin/sh from
# /etc/init.d/ssh.
# Options to pass to sshd
SSHD_OPTS="-6"
-
AddressFamily apparaît sur http://man.openbsd.org/sshd_config et dans les manpages de Ubuntu Trusty (OpenSSH_6.6.1p1) ou Ubuntu Xenial (OpenSSH_7.2p2).
J'ai compris : j'utilisais man sshd or il faut faire man sshd_config et là AddressFamily est bien présent.
AddressFamily inet6 fonctionne parfaitement : sshd n'écoute plus qu'en IPv6.
Merci !
-
Je n'ai pas la réponse à ma question : que donne ListenAddress :: ?
-
ListenAddress est utilisé pour restreindre à certaines IP (typiquement l'IP d'admin).
Cela ne permet pas de restreinte l'écoute à un seul protocole.
Le contournement étant d'écouter uniquement sur 127.0.0.1 "ListenAddress 127.0.0.1" ce qui revient à rendre l'IPv4 inutilisable, mais je préfère ne pas écouter du tout en IPv4.
-
Avec cette ligne, si tu veux, tu te mets en écoute sur la loopback v6 uniquement
Hors, ce que veut Vivien, si j'ai bien compris, c'est se mettre en écoute sur n'importe quelle IP, pourvu que ce soit une ipv6
-
Oui, rajouter la ligne AddressFamily inet6 répond parfaitement a mon besoin de ne pas écouter en IPv4.
-
Avec cette ligne, si tu veux, tu te mets en écoute sur la loopback v6 uniquement
Quelle ligne?
Hors, ce que veut Vivien, si j'ai bien compris, c'est se mettre en écoute sur n'importe quelle IP, pourvu que ce soit une ipv6
Oui, c'est bien ce que j'ai compris.
-
Je n'ai pas la réponse à ma question : que donne ListenAddress :: ?
Pour SSHD recent(et probablement l'ensemble des distribs recents) ca devrait marcher comme ca.
Sinon ..... ::ffff:192.0.0.2 -> IPv4-mapped adresses (RFC4291 2.5.5.2).
-
https://bazaar.launchpad.net/~vcs-imports/openssh/main/revision/5290 (https://bazaar.launchpad.net/~vcs-imports/openssh/main/revision/5290)
-
IPV6_V6ONLY controls behavior of AF_INET6 wildcard listening socket. The following example sets the option to 1:
int on = 1;
setsockopt(s, IPPROTO_IPV6, IPV6_V6ONLY, &on, sizeof(on) );
If set to 1, AF_INET6 wildcard listening socket will accept IPv6 traffic only. If set to 0, it will accept IPv4 traffic as well, as if it was from IPv4 mapped address like ::ffff:10.1.1.1. Note that if you set it this to 0, IPv4 access control gets much more complicated. For example, even if you have no listening AF_INET listening socket on port X, you will end up accepting IPv4 traffic by AF_INET6 listening socket on the same port. The default value for this flag is copied at socket instantiation time, from net.inet6.ip6.v6only sysctl(3) variable. The option affects TCP and UDP sockets only.
http://mirror.informatimago.com/next/developer.apple.com/documentation/Darwin/Reference/ManPages/html/ip6.4.html
-
Bref, je suis preneur d'une solution propre pour ne pas écouter en IPv4 (sans spécifier une IPv4 qui n'existe pas sur le serveur, ni utiliser iptables).
Pourquoi refuser iptables?
- Pour ne pas avoir une config spécifique à linux?
- Afin de laisser la possibilité de lancer un sshd IPv4 only à coté?
- Pour que la config ne nécessite pas d'être administrateur?
-
Explication sur les socket AF_INET6 :
IPv4 connections can be handled with the v6 API by using the v4-mapped-on-v6 address type; thus a program only needs to support this API type to support both protocols. This is handled transparently by the address handling functions in the C library.
IPv4 and IPv6 share the local port space. When you get an IPv4 connection or packet to a IPv6 socket, its source address will be mapped to v6 and it will be mapped to v6.
Address format
struct sockaddr_in6 {
sa_family_t sin6_family; /* AF_INET6 */
in_port_t sin6_port; /* port number */
uint32_t sin6_flowinfo; /* IPv6 flow information */
struct in6_addr sin6_addr; /* IPv6 address */
uint32_t sin6_scope_id; /* Scope ID (new in 2.4) */
};
struct in6_addr {
unsigned char s6_addr[16]; /* IPv6 address */
};
sin6_family is always set to AF_INET6; sin6_port is the protocol port (see sin_port in ip(7)); sin6_flowinfo is the IPv6 flow identifier; sin6_addr is the 128-bit IPv6 address. sin6_scope_id is an ID depending on the scope of the address. It is new in Linux 2.4. Linux only supports it for link-local addresses, in that case sin6_scope_id contains the interface index (see netdevice(7))
IPv6 supports several address types: unicast to address a single host, multicast to address a group of hosts, anycast to address the nearest member of a group of hosts (not implemented in Linux), IPv4-on-IPv6 to address a IPv4 host, and other reserved address types.
The address notation for IPv6 is a group of 8 4-digit hexadecimal numbers, separated with a ':'. "::" stands for a string of 0 bits. Special addresses are ::1 for loopback and ::FFFF:<IPv4 address> for IPv4-mapped-on-IPv6.
The port space of IPv6 is shared with IPv4.
https://linux.die.net/man/7/ipv6