Zakaz pristupu
Milan Kerslager
milan.kerslager na spsselib.hiedu.cz
Úterý Únor 13 11:39:28 CET 2001
On Tue, 13 Feb 2001, Petr Hruzík wrote:
> potreboval bych zakazat pristup ke vsem sluzbam z urciteho pocitace.
>
> do /etc/hosts.deny jsem zapsal
>
> ALL: nejaky.pocitac.cz
>
> zda se ale, ze to nefunguje.
>
> Nevite prosim, kde delam chybu ?
Chybu delate tim, ze jste si neprecetl manual. Podle: man 5 hosts_access
se nejprve prohlizi hosts.allow a pak az hosts.deny. Pristp je povolen pri
nalezeni prvni shody.
Takze by to slo asi takhle:
/etc/hosts.allow
ALL: ALL EXCEPT nejaky.pocitac.cz
/etc/hosts.deny
ALL: ALL
Dalsim problemem je, ze tcp_wrapper nepouzivaji vsechny aplikace (nektere
ho pouzivaji tak, ze jsou volany pred tcpd - to je temer vse spoustene
pres inetd resp. xinetd nebo diky prilinkovanym statickym knihovnam
tcp_wrapperu - napr. sshd). Z toho vyplyva, ze by asi bylo lepsi udelat:
ipchains -A input -b nejaky.pocitac.cz -j REJECT
Coz ovsem znemozni jak pristup, tak Vase spojeni s tim pocitacem. Kdybyste
chtel odeprit pristup z ciziho pocitace a zaroven povolit pristup z vaseho
na ten cizi, bylo by to slozitejsi (v pripade TCP byste musel zahazovat
prichazejici datagramy s nastavenym SYN flagem, u UDP to tak jednoduche
neni).
V kazdem pripade tahle otazka patri do linux na linux.cz a ne sem. Zde se
resi problematika okolo ceske mutace Red Hatu.
--
Milan Kerslager
E-mail: milan.kerslager na spsselib.hiedu.cz
WWW: http://www.spsselib.hiedu.cz/~kerslage/
Další informace o konferenci Redhat-cz