Hallo, auch wenn die Mails schon 'ne Weile her sind, will ich doch mal drauf antworten, da ich das für wichtig halte. Am Dienstag, 8. Februar 2005 23:20 schrieb Christian Boltz:
Hallo Ulrich, hallo Leute,
Am Freitag, 4. Februar 2005 20:03 schrieb Ulrich Hiller:
ich moechte hier auf SuSE 9.2 ssh von bestimmten hosts aus unterbinden. Ich dachte eigentlich, das ginge mit /etc/hosts.allow und /etc/hosts.deny.
Die beiden sind nur für Dienste zuständig, die über den (x)inetd gestartet werden.
Das stimmt so nicht. Erstens werden die Dateien _nur_ von den über (x)inetd gestarteten Diensten ausgewertet, die über den TCP-Wrapper gestartet werden (in der /etc/inetd.conf ein "tcpd" im vorletzten Feld). Außerdem verwendet man sie bei xinetd eher selten, da der über eigene Mechanismen zur Zugriffsbeschränkung verfügt. Zweitens gibt es eine Menge Dienste, die mit TCP-Wrapper-Unterstützung kompiliert sind, und dazu gehört normalerweise auch der ssh-Daemon. Und diese werten dann die Dateien auch aus. Seit einigen Dateien liefert die bei SuSE mitgelieferte /etc/hosts.allow-Datei da auch einen Hinweis drauf: # /etc/hosts.allow # See 'man tcpd and' 'man 5 hosts_access' for a detailed description # of /etc/hosts.allow and /etc/hosts.deny. # # short overview about daemons and servers that are built with # tcp_wrappers support: # # package name | daemon path | token # ---------------------------------------------------------------------------- # ssh, openssh | /usr/sbin/sshd | sshd, sshd-fwd-x11, sshd-fwd-<port> # quota | /usr/sbin/rpc.rquotad | rquotad # tftpd | /usr/sbin/in.tftpd | in.tftpd # portmap | /sbin/portmap | portmap ... Das ist auch ein Grund, warum man nie einfach ein DENY für ALL in die /etc/hosts.deny schreiben sollte ... Warum es dann bei Ulrich nicht wie gewünscht funktioniert, weiss ich auch nicht ... Grüße, Anke -- Think before you ...