hosts.deny logik

Jeg har prøvet at gøre således, men det virker ikke

http://www.itc.virginia.edu/unixsys/sec/hosts.html

Jeg har også prøvet med ALL:ALL:DENY

princippet er, at tcpd gennemgår de 2 filer - først allow og derefter deny. Hvis du er registreret i allow (som positiv) så kommer du på - er du registreret i deny (som negativ) så kommer du ikke på.

EXCEPT er hver gang "omvendt" - altså i allow er EXCEPT ikke-godkendte - og i deny er EXCEPT godkendte.

ALL: betyder alle services som kører igennem tcpd (tcp_wrapper) - der burde ikke stå ALL: men i stedet de enkelte services - f.eks. plejer ssh at hedde sshd: - ftp hedder in.ftpd, men du kan blive klogere i logfilen /var/log/secure - her ser du du accept og afvisninger.

Du kan aldrig bruge syntax "ALL:ALL EXCEPT 127.0.0.1:DENY" - lad være med at rette i, hvad systemet selv laver for dig (EXCEPT 127.0.0.1). Generelt bør 127.0.0.1 have adgang til ALT - ellers får du mærkelige fejl på linux, som du ikke kan forstå.

Token ALL betyder alt - i den position som ALL befinder sig - venstre for : betyder det alle service - højre for betyder det alle ip-adresser (mv.).

Når du angiver domæner, så skal ip-adresserne kunne slås op i dns (reverse) - ellers er det dømt til at fejle.

Det er nemt nok - men check din log - så bliver du klogere - og drop ALL alle andre steder end i hosts.deny.

Det er fint nok. Hvordan ska filerne så se ud, helt præcis

Jeg er sikkert ikke for klog, men logisk så ville jeg skrive at jeg afviser alt i .deny og hvad jeg tillader i .allow

og ikke det der omvendte EXCEPT

det lader ikke til at du bruger google, men her er eksempler:

hosts.deny:
#
# hosts.deny    This file describes the names of the hosts which are
#              *not* allowed to use the local INET services, as decided
#              by the '/usr/sbin/tcpd' server.
#
# deny all by default, only allowing hosts or domains listed in hosts.allow.

ALL: ALL

hosts.allow - eksempel:
#
# hosts.allow  This file describes the names of the hosts which are
#              allowed to use the local INET services, as decided
#              by the '/usr/sbin/tcpd' server.
#

sshd:          127.0.0.1                      # localhost
sshd:          1.2.3.0/255.255.255.0          # local lan
sshd:          2.3.4.0/255.255.255.128        # local lan

in.telnetd:    127.0.0.1                      # localhost
in.telnetd:    1.2.3.0/255.255.255.0          # local lan
in.telnetd:    2.3.4.0/255.255.255.128        # local lan

in.ftpd:      1.2.3.0/255.255.255.0          # local lan
in.ftpd:      2.3.4.0/255.255.255.128        # local lan
sendmail:      127.0.0.1                      # mailserver

printer:      1.2.3.4                        # adgang til lpd
snmpd:        127.0.0.1                      # localhost
pop3d:        127.0.0.1                      # localhost

imapd:        127.0.0.1                      # localhost

in.tftpd:      1.2.3.0/255.255.0.0            # local switche

og ja, det er mest logisk at afvise alt - og positivt acceptere i allow - men der er mange muligheder.

Jeg bruger kun google til hacking *lol*

Jek vil prøve at lave de ændringer du foreslår

spændende om det virker

Nu har jeg sagt ALL:ALL i .deny og sshd: 127.0.0.1  # localhost i .allow

Jeg forventer så at jeg ikke kan connecte fra andet end den lokale maskine

Det virker ikke en prut

kommer du slet ikke på?
forbinder du til adressen 127.0.0.1 - eller til den eksterne adresse?

du skal forbinde til 127.0.0.1 således: "ssh 127.0.0.1"

Hvad siger loggen?
Jeg går ud fra, at din ssh er compileret med understøttelse af tcp_wrapper?

Jeg har sat langt over 100 maskiner op på denne måde - så det virker!

Jeg kan såmend godt komme på, men det kan alle andre tilsyneladende også og det var jo ikke meningen :-)

Hvad siger loggen?
Jeg går ud fra, at din ssh er compileret med understøttelse af tcp_wrapper?

hvor finder jeg log filen

har jeg skrevet tidligere: "men du kan blive klogere i logfilen /var/log/secure - her ser du du accept og afvisninger."

Der står en masse om proftp, men tilsyneladende ikke noget om ssh

3. gang: "Jeg går ud fra, at din ssh er compileret med understøttelse af tcp_wrapper?"

/var/log/messages ?

har du løst problemet?

ikke rigtigt. Det jeg gerne ville have opnået var at det kun er specifikke IP'ere og domæner som kan få ssh adgang. Jeg har sat det op efter bedste evne, men det ser ikke ud til at virke.

ja, men kan du få nogen begrænsninger overhovedet til at virke - det virker

Nej det kan jeg ikke. Du siger at det virker, men det gør det altså bare ikke

Jeg tror ikke at Mandriva er skide smart

kører også kun redaht/fedora, men mandrive/mandrake bygger på RH

meget muligt. Det virker ikke

Hvad kan man så gøre

ja, men kan du få nogen begrænsninger overhovedet til at virke

nej

ok, det tyder så på, at ssh ikke er med tcp-wrapper - er ssh selvcompileret eller en del af en standard pakke?

Du kan muligvis gøre det med iptables - jeg er dog ikke sikker

kan du med hosts.allow/deny holde alle ude?

ja fordi jeg skrive ALL:ALL i hosts.deny. Den fil vælger Mandriva så at lave om så den er forkert, og så virker intet

hvordan kommer den til at se ud - således: ALL:ALL EXCEPT 127.0.0.1:DENY

i så fald prøv at rette til:
ALL:ALL EXCEPT 127.0.0.1