Aufgabe erstellen mit Script für SSH und IPV6

[Joschie]

Moin,

ich wollte mein Skript im Aufgabenplaner erweitern, dabei bin ich auf ein Problem mit der Ausformulierung gestoßen.

#!/bin/bash

if ! (cat /etc/ssh/sshd_config | grep -q 'Match User ADMIN') ; then
echo 'Match User ADMIN' >> /etc/ssh/sshd_config
echo ' AllowUsers ADMIN@192.168.178.59/16' ADMIN@fe80::/16 >> /etc/ssh/sshd_config
fi

Den Ausdruck ADMIN@fe80::/16 müsste noch angepasst werden, aber wie?

Bei meinem System handelt es sich um eine DS 723+ mit OS 7.2.

Danke und Grüße

 

[plang.pl]

Wieso löst du das nicht einfach über Firewall-Regeln?

 

[Benares]

Was willst du da noch anpassen? fe80::/16 ist etwa das gleiche bei IPv6 wie 192.168.x.y/16 bei IPv4.

 

[Joschie]

Wieso löst du das nicht einfach über Firewall-Regeln?

Weil IPTABLES keine Benutzer-bedingten Regeln/Optionen kennt.

 

[Joschie]

Was willst du da noch anpassen? fe80::/16 ist etwa das gleiche bei IPv6 wie 192.168.x.y/16 bei IPv4.

Nur etwa. Und etwa gibt es vielleicht irgendwann nicht mehr, in meinem Netzwerk. Aber aktuell laufe ich zweigleisig.

 

[Benares]

Schau dir mal "ipconfig /all" auf deinem PC an. Da wirst du 3 IPv6-Adressen finden. 2 beginnen vermutlich mit 2001:, das ist einmal die IPv6, über die dein PC erreichbar wäre, und die "IPv6 mit Privacy Extension", auch "Temporäre IPv6" genannt. Letztere benutzt dein PC wenn er nach außen zugreift (s. https://www.wieistmeineip.de/).
Die dritte beginnt mit fe80:: und nennt sich "Verbindungslokale IPv6", die wird für alles verwendet, was Netzwerk-intern läuft.
Was also z.B. 192.168.x.y/16 bei IPv4 ist, ist fe80::/16 bei IPv6 - also quasi alle internen Adressen.

 

[Joschie]

Vielen Dank Benares. Ich gehe mal davon aus, dass dann die Syntax "ADMIN@fe80::/16" in Ordnung ist?

Ich hatte noch andere Varianten gelesen. Möchte ungerne meine SSH-Config verunglimpfen.

 

[Adama]

Was also z.B. 192.168.x.y/16 bei IPv4 ist, ist fe80::/16 bei IPv6 - also quasi alle internen Adressen.

Was so nicht ganz korrekt ist. fe80:: oder Site-Local-Unicast-Adressen sind vergleichbar mit den APIPA-Adressen, also 169.254.0.0/16

Die Entsprechung für 192.168.0.0/16 sind die Unique Local Unicast-Adressen, also fc00::/7

 

[Benares]

Mag sein, da bin mir jetzt auch nicht ganz sicher.

Was mich grad etwas verwirrt, wenn ich mir mit ipconfig /all die IP-Konfiguration meines (Win10)-PCs anschauen, sehe ich als meine "Verbindungslokale IPv6-Adresse" mit fe80:..., als Standard-Gateway die fe80:-IPv6 meiner Fritzbox, bei DNS-Server aber eine fd00:-IPv6 der Fritzbox.
Ich glaube, da muss ich mal noch etwas besser einlesen.

 

[Adama]

Für ein Home-Netz hat das auch keine wirkliche Bedeutung, die meisten haben ja auch nur ein Segment.

Ich bin nur drüber gestolpert, als ich mir für meine heimische Spielwiese neben dem AD/DNS auch DHCP eingerichtet habe. Da hatte ich dann angefangen zu schauen, wie das dann bei IPv6 aussieht, wenn man das äquivalent zu IPv4 aufbaut...

 

[Joschie]

Ich würde auch gerne eine Rückmeldung per e Mail einbauen, falls die Konfigurationen sich ändern sollten und dann mittels meines Skriptes aktualisiert werden sollen.

Reicht dafür ein "Return 1" in meinem BASH-Skript?

Weiterhin wollte ich die zu nutzenden Befehle einschränken. D.h. wenn BENUTZER1 von ausserhalb meines Netzwerks(Internet) auf meinen NAS zugreift, dann sollen nur die Kommandos "rsync, ssh" genutzt werden dürfen. Kann ich dies auch über die ssh_config einrichten?

Ich möchte dies lieber zentralisiert lassen.