Hallo, ich moechte hier auf SuSE 9.2 ssh von bestimmten hosts aus unterbinden. Ich dachte eigentlich, das ginge mit /etc/hosts.allow und /etc/hosts.deny. /etc/hosts.allow ist leer /etc/hosts.deny hat ff. Inhalt: sshd: ALL sshd-fwd-x11: ALL Damit muesste, so wie ich die Manuals verstanden habe, alles mit ssh blockiert werden. Tut es aber nicht. Was muss ich noch tun? Gruss, ulrich -- Ulrich Hiller Max-Planck-Institut fuer Astronomie Koenigstuhl 17 69117 Heidelberg Germany phone +49 6221 528238 fax +49 6221 528246 email hiller@mpia.de
Hallo Ulrich, hallo Leute, Am Freitag, 4. Februar 2005 20:03 schrieb Ulrich Hiller:
ich moechte hier auf SuSE 9.2 ssh von bestimmten hosts aus unterbinden. Ich dachte eigentlich, das ginge mit /etc/hosts.allow und /etc/hosts.deny.
Die beiden sind nur für Dienste zuständig, die über den (x)inetd gestartet werden. SSH läuft üblicherweise als eigenständiger Daemon und lässt sich von hosts.allow und hosts.deny nicht beeindrucken. Bleibt die Frage, was Du erreichen willst: - willst Du den SSH-Login auf Deinem Server nur von bestimmten IPs aus erlauben? (sollte in der SSH-Config einzustellen sein) - oder willst Du bestimmten Clients verbieten, sich _irgendwo_ per SSH einzuloggen? (das wäre eine Frage der Firewall-Config bezüglich ausgehenden Verbindungen) Gruß Christian Boltz -- Jaaaa! Und am besten den Rest des Desktops auch noch mit DHTML nachprogrammieren, ach was sag ich, JavaScript ist ja /die/ Sprache, um das ganze Betriebsystem neu zu entwickeln. [Ratti in fontlinge-devel]
Hallo, auch wenn die Mails schon 'ne Weile her sind, will ich doch mal drauf antworten, da ich das für wichtig halte. Am Dienstag, 8. Februar 2005 23:20 schrieb Christian Boltz:
Hallo Ulrich, hallo Leute,
Am Freitag, 4. Februar 2005 20:03 schrieb Ulrich Hiller:
ich moechte hier auf SuSE 9.2 ssh von bestimmten hosts aus unterbinden. Ich dachte eigentlich, das ginge mit /etc/hosts.allow und /etc/hosts.deny.
Die beiden sind nur für Dienste zuständig, die über den (x)inetd gestartet werden.
Das stimmt so nicht. Erstens werden die Dateien _nur_ von den über (x)inetd gestarteten Diensten ausgewertet, die über den TCP-Wrapper gestartet werden (in der /etc/inetd.conf ein "tcpd" im vorletzten Feld). Außerdem verwendet man sie bei xinetd eher selten, da der über eigene Mechanismen zur Zugriffsbeschränkung verfügt. Zweitens gibt es eine Menge Dienste, die mit TCP-Wrapper-Unterstützung kompiliert sind, und dazu gehört normalerweise auch der ssh-Daemon. Und diese werten dann die Dateien auch aus. Seit einigen Dateien liefert die bei SuSE mitgelieferte /etc/hosts.allow-Datei da auch einen Hinweis drauf: # /etc/hosts.allow # See 'man tcpd and' 'man 5 hosts_access' for a detailed description # of /etc/hosts.allow and /etc/hosts.deny. # # short overview about daemons and servers that are built with # tcp_wrappers support: # # package name | daemon path | token # ---------------------------------------------------------------------------- # ssh, openssh | /usr/sbin/sshd | sshd, sshd-fwd-x11, sshd-fwd-<port> # quota | /usr/sbin/rpc.rquotad | rquotad # tftpd | /usr/sbin/in.tftpd | in.tftpd # portmap | /sbin/portmap | portmap ... Das ist auch ein Grund, warum man nie einfach ein DENY für ALL in die /etc/hosts.deny schreiben sollte ... Warum es dann bei Ulrich nicht wie gewünscht funktioniert, weiss ich auch nicht ... Grüße, Anke -- Think before you ...
participants (3)
-
Anke Börnig -
Christian Boltz -
Ulrich Hiller