rc/servers
4
0
Fork 2
Code Issues 1 Pull requests 2 Projects Releases Packages Wiki Activity Actions

Nek ukrep da se ne moreš zaklenit iz SSH #3

New issue
Open
opened 2026-01-08 16:41:36 +00:00 by mf7094 · 1 comment
mf7094 commented 2026-01-08 16:41:36 +00:00
Member
Copy link

NFTables config se generira iz netbox service lista. Če tam ni vpisan SSH (se zgodi), te prvi run ansible playbooka zaklene iz serverja.

Glede na to, da Ansible brez SSH nima nobenega smisla, tudi nima smisla, da podpiramo zapiranje SSH.

Vidim dve opciji:

  1. dodamo check, ki prekine play če zazna, da ssh service (port 22?) ne obstaja
  2. dodamo "odpri port 22" v direktno v nftables config, da bo vedno odprt ne glede na netbox

Če kdo pove katero opcijo nardit, nardim, da se v prihodnje še kdo drug ne zaklene iz serverja kot sem se zdaj jaz.

NFTables config se generira iz netbox service lista. Če tam ni vpisan SSH (se zgodi), te prvi run ansible playbooka zaklene iz serverja. Glede na to, da Ansible brez SSH nima nobenega smisla, tudi nima smisla, da podpiramo zapiranje SSH. Vidim dve opciji: 1. dodamo check, ki prekine play če zazna, da ssh service (port 22?) ne obstaja 2. dodamo "odpri port 22" v direktno v nftables config, da bo vedno odprt ne glede na netbox Če kdo pove katero opcijo nardit, nardim, da se v prihodnje še kdo drug ne zaklene iz serverja kot sem se zdaj jaz.
mf7094 changed title from Zapiranje SSH nima smisla to Nek ukrep da se ne moreš zaklenit iz SSH 2026-01-08 16:42:03 +00:00
jetomit commented 2026-01-08 21:13:17 +00:00
Owner
Copy link

Če tam ni vpisan SSH (se zgodi), te prvi run ansible playbooka zaklene iz serverja.

Res je. Do zdaj sicer ni playbookov uporabljal nihče brez dostopa do konzole za take primere. Razmislek je, da je malo nadležnosti pri postavljanju virtualke bolje, kot da za npr. ceph node pomotoma dovolimo SSH od povsod.

Tako da se mi zdi boljša opcija

dodamo check, ki prekine play če zazna, da ssh service (port 22?) ne obstaja

Mogoče ima smisel gledati dejanski port, ki ga ansible uporablja za povezavo. Res pa je trenutno povsod 22 in ni plana, da bi uporabljali kaj drugega.

Tak check sicer ni čisto dovolj, ker lahko nastaviš napačen allowlist za ssh service, reši pa najpogostejši fail.

> Če tam ni vpisan SSH (se zgodi), te prvi run ansible playbooka zaklene iz serverja. Res je. Do zdaj sicer ni playbookov uporabljal nihče brez dostopa do konzole za take primere. Razmislek je, da je malo nadležnosti pri postavljanju virtualke bolje, kot da za npr. ceph node pomotoma dovolimo SSH od povsod. Tako da se mi zdi boljša opcija > dodamo check, ki prekine play če zazna, da ssh service (port 22?) ne obstaja Mogoče ima smisel gledati dejanski port, ki ga ansible uporablja za povezavo. Res pa je trenutno povsod 22 in ni plana, da bi uporabljali kaj drugega. Tak check sicer ni čisto dovolj, ker lahko nastaviš napačen allowlist za ssh service, reši pa najpogostejši fail.
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
master
No results found.
Labels
Clear labels
No items
No labels
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
2 participants
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: rc/servers#3
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?