Kandu.dk - sshd, iptables og hostkeys


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

sshd, iptables og hostkeys - hrmpf
Fra : Rene

Dato : 20-09-01 13:19

Kent Friis (20-09-2001)

Kommentar
Fra : Kent Friis

Dato : 20-09-01 16:42

Den Thu, 20 Sep 2001 14:19:00 +0200 skrev Rene:
>Hej Gruppe
>
>Jeg har et lille irritations-problem.
>Jeg har på min gateway op opensshd kørende. desuden har jeg vha. iptables
>forwardet port 4200 til port 22 på en maskine inde på mit LAN.
>Nu er problemet så bare, at hver gang jeg udefra connecter til enten port
>22 (gw'en selv) eller port 4200 (der forwardes til den interne
>maskine) får jeg en advarsel om ændret host identification
>(WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!).
>Jeg kan se i ~/.ssh2/known_hosts, at problemet er, at der ikke skelnes
>imellem portnumre - kun host-addresse, hvilket vil sige, at ligegyldigt
>hvilken port jeg connecter til, fremstår de som den samme i known_hosts,
>med den lille forskel, at hvis jeg connecter til en port der returnerer en
>anden host id end den der står i known_hosts får jeg en fejl.
>
>Er der nogen løsning på dette problem, eller skal jeg bare droppe
>portforwardingen igen ? (ville være rar at have, idet jeg så slap for at
>logge ind på gw'en hver eneste gang jeg skulle til en helt anden maskine
>på LAN'et..)

Hvad med:

ssh -t gateway ssh maskine

Mvh
Kent
--
Gilthoniel, A Elbereth
Aiya elenion ancalima!
- Tolkien, "The Lord of the Rings"

Rene (21-09-2001)

Kommentar
Fra : Rene

Dato : 21-09-01 15:22

Kent Friis (21-09-2001)

Kommentar
Fra : Kent Friis

Dato : 21-09-01 16:56

Den Fri, 21 Sep 2001 16:22:17 +0200 skrev Rene:
>On Thu, 20 Sep 2001, Kent Friis wrote:
>> Hvad med:
>>
>> ssh -t gateway ssh maskine
>
>hm - ville det stadig ikke kræve en konto på gw-maskinen?

Jo. Men hvis du ikke havde det, var der vel ingen grund til at kunne
ssh til gw'en?

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

Rene (21-09-2001)

Kommentar
Fra : Rene

Dato : 21-09-01 18:14

Kent Friis (21-09-2001)

Kommentar
Fra : Kent Friis

Dato : 21-09-01 18:49

Den Fri, 21 Sep 2001 19:14:09 +0200 skrev Rene:
>On Fri, 21 Sep 2001, Kent Friis wrote:
>
>> >hm - ville det stadig ikke kræve en konto på gw-maskinen?
>>
>> Jo. Men hvis du ikke havde det, var der vel ingen grund til at kunne
>> ssh til gw'en?
>
>Det har du selvfølgelig helt ret i - min fejl.
>
>Det løser dog kun problemet med 'direkte' login vha. ssh på en maskine
>inde på LAN'et.
>Hvad så med scp? - med -t skal jeg først scp'e evt. filer
>til gw'en, og derfra til maskinen på LAN'et?

Hmm, ikke smart.

>Det er ikke livsnødvendigt at kunne, men rart, så jeg slipper for at have
>filer liggende temporært på gw-maskinen. (desuden vil jeg gerne på et
>tidspunkt prøve en grafisk scp-klient, og så ville det være rart at have
>direkte kontakt med den maskine man vil scp'e med...)

Det kunne være du skulle kigge på en form for vpn (evt. ppp over ssh).

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

Alex Holst (20-09-2001)

Kommentar
Fra : Alex Holst

Dato : 20-09-01 19:52

Rene <kaos@intet.dk> wrote:
> Jeg har et lille irritations-problem.
[..]

Min 'man ssh' siger:

HostKeyAlias
Specifies an alias that should be used instead of the real host
name when looking up or saving the host key in the host key
database files. This option is useful for tunneling ssh connec-
tions or if you have multiple servers running on a single host.

Goer din?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Rene (21-09-2001)

Kommentar
Fra : Rene

Dato : 21-09-01 15:41

Alex Holst (21-09-2001)

Kommentar
Fra : Alex Holst

Dato : 21-09-01 18:47

Rene <kaos@intet.dk> wrote:
> On Thu, 20 Sep 2001, Alex Holst wrote:
>> Min 'man ssh' siger:
>>
>> HostKeyAlias
>> Specifies an alias that should be used instead of the real host
>> name when looking up or saving the host key in the host key
>> database files. This option is useful for tunneling ssh connec-
>> tions or if you have multiple servers running on a single host.
>>
>> Goer din?
>
> yup - men om der står et alias eller gw-maskinens rigtige navn/ip er vel
> hip som hap?

Nej, fordi din ~/.ssh/config skal have to entries: den rigtige (gw) og din
interne maskine (snublebanan). Naar du skriver

ssh gw

forbinder ssh til port 22 paa din gateway og bruger hostkey udleveret af
port 22. Naar du skriver

ssh sb

forbinder ssh til din gateway paa port whatever, og bruger den hostkey som
bliver udleveret af den port.

> Jeg kan på det hele se, at det er noget ssh-tunnel-hejs jeg skal se på
> istedet for at bruge iptables til at forwarde en ('tilfældig') port fra
> gw-maskinen til ssh-porten på maskinen inde på LAN'et. Er denne antagelse
> helt ude i skoven?

Ja, lidt. Din config skulle se saadan ud:

Host gw
Hostname gw.et.eller.andet.sted
User fibble
Protocol ..whatever..

Host sb
Hostname gw.et.eller.andet.sted
User fibble
Port 4200
HostKeyAlias snublebanan.et.eller.andet.sted

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Rene (22-09-2001)

Kommentar
Fra : Rene

Dato : 22-09-01 00:42

Søg

Reklame

Statistik

Spørgsmål :	177513
Tips :	31968
Nyheder :	719565
Indlæg :	6408603
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste