sshd - Geben Sie je nach eingehendem Host unterschiedliche Chiffren an

sshd - Geben Sie je nach eingehendem Host unterschiedliche Chiffren an

Entsprechendman sshd_configkann ich beispielsweise eine Liste der unterstützten Chiffren angeben:

Ciphers arcfour, 3des-cbc

Das Problem besteht darin, dass eine Client-Anwendung, die auf einem Host ausgeführt wird, nicht dieselbe Verschlüsselung unterstützt wie der Rest des Netzwerks.

Gibt es daher eine Möglichkeit, eine Chiffre anzugeben, die in allen Fällen verwendet werden soll, allerdings mit einer einzigen Host-Ausnahme?

Antwort1

Die in der Anweisung aufgeführten Chiffren Cipherssollten nach der ersten Übereinstimmung sortiert werden. Setzen Sie also die Chiffre des Rogue-Clients ans Ende der Liste. Die anderen Clients in Ihrem Netzwerk werden, wenn möglich, zuerst die Chiffren aushandeln, die weiter oben in der Liste stehen, und Ihr Rogue-Client sollte auf die schwächere Chiffre durchfallen.

Leider können andere Clients dadurch weiterhin die schwächeren Chiffren verwenden, wenn dies explizit festgelegt ist. Leider können Sie keine CiphersDirektive in einen MatchBlock einfügen. Die andere Option, die mir einfällt, ist, für den ausgefallenen Client einen anderen Server auf einem anderen Port auszuführen und den Zugriff auf die zweite Instanz von SSHD auf diesen Host zu beschränken.

Antwort2

So wie ich das sehe, besteht die einzige Möglichkeit darin, es mithilfe von ForceCommand per Skript zu umgehen.

Mit Match sollte es nicht zu schwierig sein:

ForceCommand

Forces the execution of the command specified by ForceCommand, ignoring any command supplied by the client and ~/.ssh/rc if present. The command is invoked by using the user's login shell with the -c option. This applies to shell, command, or subsystem execution. It is most useful inside a Match block.

Das Obige stammt aus den Manpages. Weitere habe ich hier gefunden:SSHD Gatekeeper-Skript

--bearbeiten--

Das Beste, was ich hinbekomme, ist, eine separate SSHD-Instanz auf einem anderen Port laufen zu lassen und dann -s zu einem der Umleitungsbeispiele hinzuzufügen, um nur die IP der Anwendung abzufangen und sie auf die andere Instanz umzuleiten, die mit der richtigen Chiffre konfiguriert ist:http://www.cyberciti.biz/faq/linux-port-redirection-with-iptables/

verwandte Informationen