Accès SSH et /etc/hosts.deny

Support Debian
#1

Bonjour,

Est-ce que quelque chose de changer avec SSHd et /etc/hosts.deny ?

Je n’arrivais pas à me connecter à une de mes machines en SSH :

Sur la machine cliente :

nicolas@chlore:~$ ssh iode.***.net -v OpenSSH_6.4, OpenSSL 1.0.1e 11 Feb 2013 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug1: Connecting to iode.microniko.net [2001:910:107d:fd11:205:5dff:fedf:1c79] port 22. debug1: Connection established. debug1: identity file /home/nicolas/.ssh/id_rsa type -1 debug1: identity file /home/nicolas/.ssh/id_rsa-cert type -1 debug1: identity file /home/nicolas/.ssh/id_dsa type 2 debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024 debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024 debug1: identity file /home/nicolas/.ssh/id_dsa-cert type -1 debug1: identity file /home/nicolas/.ssh/id_ecdsa type -1 debug1: identity file /home/nicolas/.ssh/id_ecdsa-cert type -1 debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_6.4p1 Debian-1 ssh_exchange_identification: read: Connection reset by peer

Sur le serveur (/var/log/auth.log) :

Feb 17 15:45:53 iode sshd[3435]: warning: /etc/hosts.deny, line 19: can't verify hostname: getaddrinfo(chlore.***.net, AF_INET6) failed Feb 17 15:45:53 iode sshd[3435]: refused connect from 2001:910:107d:xxx:xxx:xxx:xxx:xx (2001:910:107d:xx:xx:xx:xx:xx)

Et en enlevant ALL: PARANOID de /etc/hosts.deny sur le serveur, je peux me connecter… J’ai une autre machine avec ALL: PARANOID dans /etc/hosts.deny et je peux m’y connecter…

C’est bizarre, non ?!

#2

Alors si je dis pas de betise c est la résolution DNS de ton nom par ton serveur qui bloque.
Fait un whois sur ton hostname pour voir de ton serveur si ca passe

Et rajoute

dans ton fichier /etc/ssh/sshd_config

le ALL: PARANOID ne fait qu une chose interdire l acces aux hotes ayant des noms suspects. Ne pas arriver a le resoudre semble donc suspect :smiley:

#3

Salut,

Pas à ma connaissance.

[quote=“microniko”]
warning: /etc/hosts.deny, line 19: can’t verify hostname: getaddrinfo(chlore.***.net, AF_INET6) failed

refused connect from 2001:910:107d:xxx:xxx:xxx:xxx:xx [/quote]

Quels sont les retours suivants :

  • machine cliente et serveur.

[mono]$ hostname
$ cat /etc/hosts[/mono]

  • serveur

[mono]$ cat /etc/hosts.deny
$ cat /etc/hosts.allow
$ cat /etc/denyhosts.conf[/mono]

Il te faudra également voir en [mono]/var/lib/denyhosts/les_fichiers[/mono] si tu n’y es pas banni … :083

Nota : préalablement stopper le [mono]service denyhosts stop[/mono] supprimer les lignes concernées avant de relancer.

#4

Ah!!! :013 Encore une hostoire de DNS… Décidément !

[quote=“BelZéButh”]
Quels sont les retours suivants :

  • machine cliente :

[mono]$ hostname[/mono][/quote]
[mono]chlore[/mono]

[quote][mono]$ cat /etc/hosts[/mono]
[mono]127.0.0.1 localhost
127.0.0.1 chlore.microniko.net chlore
127.0.0.1 firstjeudi.localdomain
127.0.0.1 dolibarr.localdomain
127.0.0.1 drupal.localdomain
(et tout un tas d’autres bidules inutiles en 127.0.0.1 :wink: )

The following lines are desirable for IPv6 capable hosts

::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters[/mono]
(désolé, y’a pas grand chose :wink: )

[quote]

  • serveur :
    [mono]$ hostname[/mono][/quote]
    [mono]iode[/mono]

[mono]127.0.0.1 localhost
127.0.1.1 iode.microniko.net iode

192.168.1.80 chlore.microniko.net chlore[/mono]
Et si je commente la dernière ligne, ça marche !!! :115

[mono]ALL: PARANOID[/mono]

Rien (tout commenté)

Le fichier n’existe pas.

[quote]Il te faudra également voir en [mono]/var/lib/denyhosts/les_fichiers[/mono] si tu n’y es pas banni … :083
Il n’y a rien qui ressemble à ça dans [mono]/var/lib[/mono].

Le paquet denyhosts n’est pas installé…

Visiblement, mon problème est réglé. Sauf que je ne vois pas pourquoi du jour au lendemain ça s’est mis à déconner… Ça fait bien longtemps que j’ai l’IPv4 de mes clients sur la machine [mono]iode[/mono] (c’est mon serveur de sauvegarde…). C’était à l’époque où j’avais des partages NFS. Je ne les aient plus mais j’avais jamais modifié le fichier [mono]hosts[/mono]… :017 Bizarre…

#5

moi je parie pour un probleme de resolution dns au vu de ton message d erreur.