Seu /etc/hosts.deny, acho que você tem um erro de sintaxe. Não deve haver um espaço entre "sshd" e o cólon. Então, leia:
sshd: ALL
No lado "permitir", tenho linhas como:
sshd: 192.168.1.1
Não há texto final após o endereço IP.
Eu tenho este conteúdo em hosts.deny
(com uma nova linha no final):
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd : ALL
E isso em hosts.allow
:
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
sshd: our.ip.add.ress: allow
Em seguida, executamos este trecho de código para reiniciar o SSH:
/etc/init.d/sshd restart
E mais uma vez, aqui está uma nova linha no final. Mas ainda podemos acessar o serviço SSH de outro servidor e tentar fazer o login. O que estamos fazendo errado?
Seu /etc/hosts.deny, acho que você tem um erro de sintaxe. Não deve haver um espaço entre "sshd" e o cólon. Então, leia:
sshd: ALL
No lado "permitir", tenho linhas como:
sshd: 192.168.1.1
Não há texto final após o endereço IP.
Você não precisa do : allow
em hosts.allow
. Deve ficar assim:
sshd: 192.168.2.200
Se você tiver acesso ao console, poderá tentar bloquear tudo o que usa tcpwrappers, caso haja um problema com o nome do serviço:
hosts.deny
:
ALL: ALL
hosts.allow
:
ALL: 192.168.2.200
Vale a pena verificar se o suporte para tcp-wrappers foi realmente compilado no sshd que você está usando?
Ele precisa ter sido compilado com as opções --with-libwrap ou --with-tcp-wrappers, de acordo com o livro do caracol.
(Não tenho certeza se a maioria das distribuições habilitar isso por padrão, ou qual é a opção padrão de tempo de compilação para abrir o ssh).
Eu verifiquei o meu agora fazendo:
ldd /usr/sbin/sshd | egrep 'wrap'
que indicou
libwrap.so.0 => /lib64/libwrap.so.0 (0x00002ba50fa9c000)
(h / t para esta pergunta do Stack Exchange )