On Sun, 27 May 2001 at 20:05 +0200, "Joerg Zimmermann" wrote:
From: Andre Frimberger
wenn ich einen neuen Benutzer anleg, hatt er das Recht über Telnet zu connecten, wie kann ich es Usern verbieten, über telnet zu connecten ?
Wie schon geschrieben wurde: Gezielt einzelnen Benutzern Logins per Telnet zu verbieten, ist mit Standard-Mitteln nicht möglich. Es ist nur möglich, Telnet ganz zu deaktivieren (und stattdessen z.B. mit (Open)SSH zu arbeiten). Wenn einzelne Benutzer nur einen FTP-Zugang haben sollen, ist die gängige Methode, ihnen als Shell /bin/false zu geben. Damit können sie sich zwar noch per FTP einloggen, aber andere Logins dieser Benutzer laufen ins Leere.
Telnet sollte nicht mehr verwendet werden, da eine Telnet-session Daten & Passwoerter unverschluesselt uebertraegt.
ACK. Und für FTP gilt das leider ebenso.
Besser waere es ssh zu verwenden. Um Telnet zu deaktivieren brauchst Du lediglich in der /etc/inetd.conf die Zeile mit Telnet zu kommentieren.
Und für sofortige Wirkung `rcinetd reload` aufrufen.
Fuer ssh gibt es eine Vielzahl von Moeglichkeiten Benutzern ssh zu ermoeglichen oder auch nicht.
ACK.
Auf neueren Systemen sollte zudem der TCP wrapper installiert sein. Damit kannst Du in den Dateien hosts.allow und hosts.deny differenzierte Zugriffrechte auf die einzelnen Dienste gewaehren.
Das einzige, was damit halbwegs[1] zuverlässig möglich ist, ist die Beschränkung des Zugangs auf Rechner mit bestimmten IP-Adressen. Schon das Überprüfen der Identität des Benutzers auf dem entfernten Rechner ist nur sehr eingeschränkt sinnvoll, da es die Mitwirkung (identd) und Vertrauenswürdigkeit des fremden Rechners voraussetzt. Zur Zugangskontrolle taugt das nicht, die vom identd des entfernten Rechners mitgeteilten (und im eigenen Logfile gespeicherten) Benutzernamen könnten aber unter Umständen bei der nachträglichen Aufklärung von verdächtigen Vorgängen helfen. Um nur bestimmten (lokalen) Benutzer Telnet-Logins o.ä. zu gestatten, ist der TCP-Wrapper nicht geeignet, da er gar nicht mitbekommt, als mit welchem Benutzernamen sich jemand anmelden will. (Der TCP-Wrapper erledigt seine Aufgabe, bevor der erste Datenaustausch über die Verbindung stattfindet.)
Das setzt aber voraus das diese Dienste ueber den inetd gestarted werden und nicht als Daemons laufen.
Es gibt auch Daemons, die unabhängig vom inetd laufen, aber mit eingebauter TCP-Wrapper-Unterstützung aufwarten (z.B. ssh, portmap). Eilert Footnotes: [1] Die Gefahr von IP-Spoofing bleibt natürlich. -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/