sshd: especifica diferentes cifrados según el host entrante

sshd: especifica diferentes cifrados según el host entrante

De acuerdo ahombre sshd_config, puedo especificar una lista de cifrados admitidos, por ejemplo:

Ciphers arcfour, 3des-cbc

El problema es que una aplicación cliente que se ejecuta en un host no admite el mismo cifrado que el resto de la red.

Por lo tanto, ¿hay alguna manera de especificar un cifrado para usar en todos los casos, pero con una única excepción de host?

Respuesta1

Los cifrados enumerados en la Ciphersdirectiva deben ir por la primera coincidencia, por lo tanto, coloque el cifrado del cliente fraudulento al final de la lista. Los otros clientes de su red negociarán primero los cifrados que se encuentran más arriba en la lista, si pueden, y su cliente fraudulento debería pasar al cifrado más débil.

Desafortunadamente, esto aún permitirá que otros clientes utilicen cifrados más débiles si se configuran explícitamente. Lamentablemente, no se puede poner una Ciphersdirectiva dentro de un Matchbloque. La otra opción que se me ocurre es ejecutar un servidor diferente en un puerto diferente para el cliente extraño y restringir el acceso a la segunda instancia de sshd a ese host.

Respuesta2

Por lo que puedo ver, la única opción es crear un script utilizando ForceCommand.

No debería ser demasiado complicado usar Match:

ForceCommand

Forces the execution of the command specified by ForceCommand, ignoring any command supplied by the client and ~/.ssh/rc if present. The command is invoked by using the user's login shell with the -c option. This applies to shell, command, or subsystem execution. It is most useful inside a Match block.

Los anteriores son de las páginas de manual. Encontré más aquí:Guión de control de acceso SSHD

--editar--

Lo mejor que puedo lograr es ejecutar una instancia SSHD separada en otro puerto y luego agregar -s a uno de los ejemplos de redireccionamiento para capturar solo la IP de la aplicación y redirigirla a la otra instancia configurada con el cifrado correcto:http://www.cyberciti.biz/faq/linux-port-redirection-with-iptables/

información relacionada