Joerg Thuemmler schrieb am Mon, 09 Feb 2004 13:57:29 +0100 (CET): hosts.allow und hosts.deny
Hi,
vielleicht kann mir hierzu jemand helfen:
ichn habe ein lokales Netzwerk (192.168.0.xxx), einen Suse 8.1 Server (192.168.0.2), auf dem eine /etc/hosts mit Einträgen wie
192.168.0.1 linux.lan.vfg linux
für jeden Client. Keinen eigenen Nameserver. Über /etc/hosts.allow und /etc/hosts.deny wollte ich nun den Zugang ein wenig regulieren, also für ssh, vsftp, lpd (andere Services laufen nicht) nur lokale Clients zulassen.
Also in hosts.allow:
ALL : LOCAL
und in hosts.deny:
ALL : ALL
sollte es doch tun. Tut es aber nicht. Auch ein ".lan.vfg" in der Hostangabe der hosts.allow ändert nix und die Angabe von IP-Teilen ("192.168.0.") auch nicht. Mache ich alles auf, sehe ich mit finger die Clients mit ihrem FQDN, wenn ich in der /etc/hosts die Domains rausnehme, also "192.168.0.1 linux linux" schreibe, auch nur den lokalen Teil, dennoch reagiert "LOCAL" darauf nicht.
Ich glaube, ich verstehe auch nach x-maligem Lesen der manpage nicht, wo die Säge klemmt.
Hat jemand einen Tip?
Danke im Voraus -- Joerg Thuemmler sysadmin@vordruckleitverlag.de
Ich nochmal: nun hab ich eine Weile rumgetestet und es wird immer abartiger: vsftp funktioniert mit diesen Einstellungen. Wenn ich in der hosts.allow vsftpd LOCAL ALLOW angebe, kann ich ftp auf den Server. Trage ich das gleiche für sshd ein, klappts aber nicht. Die Ursache scheint in den verschiedenen Weisen zu liegen, in denen sich ftp und ssh anmelden: Sperre ich den ftp, kommt in den messages: .. pcedv vsftpd[pid] refused connect from joe@linux.lan.vfg bei ssh kommt aber .. pcedv sshd[pid] refused connect from root@::ffff:192.168.0.1 also die ipv6-Adresse, und das bei Anmeldeversuch vom gleichen remote host unter gleicher Kennung, also nicht als "root". Versteht einer das? und wie kann ich ssh beibringen, den Namen des remote korrekt mit der /etc/hosts aufzulösen und damit festzustellen, daß 192.168.0.1 eine Maschine im LAN ist? Jeder Tip würde mich freuen! -- Joerg Thuemmler sysadmin@vordruckleitverlag.de