SSH A OMEZENI NA IP ADRESY
Michal Vymazal
gandalf na mbox.vol.cz
Čtvrtek Květen 3 08:49:46 CEST 2001
Vaclav Dvorsky wrote:
>Myslim, ze sshd: ALL v hosts.allow neni problem, jde o sifrovane
>spojeni, takze odposlech je temer vylouceny. Pokud presto chcete omezit
>moznost pripojeni jen na jeden dva pocitace, dejte tam misto te tecky
>uprostred mezeru.
>Kdyby jste to chtel omezit napr. jen na svou sit, bylo by to treba
>sshd:192.12.3. {mezera} domena.cz
>
>ALL:ALL v /etc/hosts.deny je z bezpecnostniho hlediska v poradku
>
>
Ovsem jen v pripade (vzhledem k sshd), ze Vas demon sshd je "slinkovan"
s TCP Wrapper. V opacnem pripade nebude "brat ohled" na
hosts.deny/hosts.allow. Ted z hlavy me napada bud mrknout do manu k tcp
wrapperu a sshd, nebo pokus/omyl, zda vase verze sshd bude na
hosts.deny/hosts.allow reagovat.
Pokud reagovat nebude, pak jedine paketovy filtr (napr. ipchains) s
omezenim na port ssh (protokoly tcp a udp) a s omezenim na "povolene" ip
adresy.
--
Michal Vymazal
gandalf na mbox.vol.cz
Michal.Vymazal na deltax.cz
Office computer
Další informace o konferenci Linux