On Fri, June 3, 2011 09:27, Luca Bertoncello wrote:
> Konrad Rosenbaum <[email protected]> schrieb:
>> Warum? Was ist so schlimm daran dass der SSH-Client sich irgendeine
>> passende Adresse nimmt?
>
> Ganz einfach: ich habe mehrere IPv6 Adressen vergeben, einige davon haben
> ein
> Reverse mit lucabert.de, andere mit anderen Domains, die ich verwalte.
Fuerchtest Du um Dein Image wenn mal eine SSH-Verbindung mit dem falschen
Absender passiert? ;-)
> Und ich möchte gern, daß die ausgehenden IPv6-Verbindungen von meinem
> Server von
> eine IPv6-Adresse generiert werden, die ein Reverse mit irgendwas
> .lucabert.de
> hat.
Dazu ein paar Anmerkungen:
Du wirst das Problem nicht loesen koennen, ausser mit -b.
Man sollte keine SSH-Huepfer machen (keine Zwischenstationen zwischen
erstem SSH-Client und letztem SSH-Server). Wenn auch nur eine Station
zwischen Dir und dem Ziel kompromittiert ist, dann ist die ganze Kette im
Eimer. Die meisten Kompromittierungen von grossen Projektseiten haben
immer irgendwo in der Analyse "jemand hat sich ueber ein kompromittiertes
System eingeloggt und damit sein Passwort preisgegeben". Der Nebensatz
"wir haben dem verdammten Bastard gehoerig die Leviten gelesen!" wird
meist diplomatisch weggelassen, bevor es an die Presse geht... ;-)
Auf einem (V)Server wuerde ich keine ausgehenden Verbindungen zulassen.
Oder nur ganz ganz wenige, die aber eine verdammt gute Begruendung und ein
spezifisches Ziel brauchen. So eine Firewallregel kann eine Menge Aerger
sparen.
IPv6 waehlt Absenderadressen nach einem bestimmten Algorithmus aus:
0) Wenn die Socket bereits gebunden ist, dann bleibt das so. (ssh -b)
1) Alle temporaeren Adressen, die bereits abgelaufen sind werden verworfen.
2) Fuer eine gegebene Zieladresse wird diese neben jede lokale potentielle
Absenderadresse gelegt und gezaehlt wieviele Bits von links
uebereinstimmen bis das erste Bit abweicht (longest matching prefix).
3) Die Adressen mit den meisten Bits werden dann in die engere Auswahl
genommen. Wenn es nur einen Kandidaten gibt wird er genommen.
4) Gibt es mehrere Kandidaten werden diese nach Prioritaet sortiert. Wie
Prioritaeten automatisch berechnet oder haendisch gesetzt werden ist
kompliziert und unterscheidet sich von einem System zum naechsten und kann
sich auch in der naechsten Kernelversion unterscheiden. In die
automatische Berechnung gehen unter anderem ein wann und wie die Adresse
zugewiesen wurde, ob der DHCP oder SLAAC Server eine Prioritaet mitgegeben
hat, ob sie temporaer ist, etc.pp.
5) Von den Adressen mit der hoechsten Prioritaet wird eine zufaellig oder
auch unzufaellig genommen.
Konrad
_______________________________________________
Lug-dd maillist - [email protected]
https://ssl.schlittermann.de/mailman/listinfo/lug-dd
