SSH A OMEZENI NA IP ADRESY
Vaclav Dvorsky
hufhendr na atlas.cz
Čtvrtek Květen 3 11:58:28 CEST 2001
> >Myslim, ze sshd: ALL v hosts.allow neni problem, jde o sifrovane
> >spojeni, takze odposlech je temer vylouceny. Pokud presto chcete omezit
> >moznost pripojeni jen na jeden dva pocitace, dejte tam misto te tecky
> >uprostred mezeru.
> >Kdyby jste to chtel omezit napr. jen na svou sit, bylo by to treba
> >sshd:192.12.3. {mezera} domena.cz
> >ALL:ALL v /etc/hosts.deny je z bezpecnostniho hlediska v poradku
>
> Ovsem jen v pripade (vzhledem k sshd), ze Vas demon sshd je "slinkovan"
> s TCP Wrapper. V opacnem pripade nebude "brat ohled" na
> hosts.deny/hosts.allow. Ted z hlavy me napada bud mrknout do manu k tcp
> wrapperu a sshd, nebo pokus/omyl, zda vase verze sshd bude na
> hosts.deny/hosts.allow reagovat.
> Pokud reagovat nebude, pak jedine paketovy filtr (napr. ipchains) s
> omezenim na port ssh (protokoly tcp a udp) a s omezenim na "povolene" ip
> adresy.
Jejda, tak to ja instaloval ssh z rpm, na vlastni kompilaci jsem si
netroufl. Instaloval jsem ho do TurboLinuxu a metoudou pokus/omyl jsem
prave overil, ze je slinkovan tak, ze bere ohled na
hosts.deny/hosts.allow
Dobre mi poslouzila dokumentace v cestine
http://docs.linux.cz/cz_man/sshd.8.html, sam totiz anglicky moc neumim.
Na konfiguraci ipchains/iptables si sam zatim neverim, ale mam to take v
planu - ted cekam na dalsi dil serialu o iptables na undergroundu.
--
Vaclav Dvorsky
http://www.hufhendr.net
emajl: hufhendr na atlas.cz, charset=iso-8859-2 (win1250)
tel: +420 608 021530, ICQ: 10896858, PGP: 0xBD191AFB
BBS: +420 2 74782420 (non-stop)
Další informace o konferenci Linux