SSH hosts.deny e hosts.allow

Question

SSH hosts.deny e hosts.allow

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)

2

Eu tenho este conteúdo em hosts.deny (com uma nova linha no final):

#
# hosts.deny    This file describes the names of the hosts which are
#       *not* allowed to use the local INET services, as decided
#       by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!

sshd : ALL

E isso em hosts.allow :

#
# hosts.allow   This file describes the names of the hosts which are
#       allowed to use the local INET services, as decided
#       by the '/usr/sbin/tcpd' server.
#

sshd: our.ip.add.ress: allow

Em seguida, executamos este trecho de código para reiniciar o SSH:

/etc/init.d/sshd restart

E mais uma vez, aqui está uma nova linha no final. Mas ainda podemos acessar o serviço SSH de outro servidor e tentar fazer o login. O que estamos fazendo errado?

ssh root iptables

por Kevin 31.12.2011 / 12:47

3 respostas

Tags ssh root iptables

CentOS 5, a porta 8080 não permitirá tráfego O mapeamento da unidade falha por meio de preferências de GPO, mas funciona bem em um VBScript

score 3 · Answer 1

Seu /etc/hosts.deny, acho que você tem um erro de sintaxe. Não deve haver um espaço entre "sshd" e o cólon. Então, leia:

sshd: ALL

No lado "permitir", tenho linhas como:

sshd: 192.168.1.1

Não há texto final após o endereço IP.

score 2 · Answer 2

Você não precisa do : allow em hosts.allow . Deve ficar assim:

sshd: 192.168.2.200

Se você tiver acesso ao console, poderá tentar bloquear tudo o que usa tcpwrappers, caso haja um problema com o nome do serviço:

hosts.deny :

ALL: ALL

hosts.allow :

ALL: 192.168.2.200

score 0 · Answer 3

Vale a pena verificar se o suporte para tcp-wrappers foi realmente compilado no sshd que você está usando?

Ele precisa ter sido compilado com as opções --with-libwrap ou --with-tcp-wrappers, de acordo com o livro do caracol.

(Não tenho certeza se a maioria das distribuições habilitar isso por padrão, ou qual é a opção padrão de tempo de compilação para abrir o ssh).

Eu verifiquei o meu agora fazendo:

ldd /usr/sbin/sshd | egrep 'wrap'

que indicou

libwrap.so.0 => /lib64/libwrap.so.0 (0x00002ba50fa9c000)

(h / t para esta pergunta do Stack Exchange )