telnet root z jedne IP adresy

Alexandr Malusek malusek na hroch.ujf.cas.cz
Čtvrtek Březen 12 21:46:57 CET 1998


mj na atrey.karlin.mff.cuni.cz (Martin Mares) writes:

> > co mam napsat do host.alow, host.deny, popr. nekam jinam, abych se mohl
> > prihlasit jako root po lokalni siti pouze z jedne IP adresy?
>  
>    To podle meho nazoru neni mozne -- hosts.allow a spol. nerozlisuji,
> na jakeho uzivatele se logujete, tykaji se pouze ochoty spustit telnetd
> jako takovy.

S tim souhlasim. To, ze jste root, se pozna ve chvili, kdy to pisete
na klavesnici. V te chvili ale uz komunikujete s procesem login, ktery
byl spusten procesem telnetd - tedy musel jste uspesne projit pres
vsechny TCP wrappery.

Nicmene podivejte se na "man login" - radu omezeni lze specifikovat v
souboru /etc/usertty.

Nepujde-li to, pak si do nejakeho inicializacniho souboru
(/etc/profile, ...) muzete dat test na IP adresu, a pokud nevyhovuje,
relaci ukoncit. Nejsem si ale jist, da-li se v tomto pripade dobre
osetrit napr. zaslani Ctrl-C, ktere by skript zastavilo pred
provedenim kontroly.

V nejhorsim se da misto /bin/login pouzit nejaky jiny program. telnetd
se pak bude spoustet s volbou "-L loginprg".

--
A. Malusek  (malusek na ujf.cas.cz)
UJF AV CR


Další informace o konferenci Linux