Hallo Community,

auf meinem Server läuft ein SSH Server (wie wohl auf den meisten Linux-Servern :ugly: ). Diser Server soll aber nur Logins von bestimmten Domains (*.abc.de) und eine bestimmte IP zulassen.

Meine Frage:
Wie / wo kann ich eine "allowed hosts" Einstellung vornehmen?

Danke schon mal :-)

raf

Wie / wo kann ich eine "allowed hosts" Einstellung vornehmen?Ich regele das bei mir ueber das Firewall-Script, zB. so:
$IPTABLES -A INPUT -p tcp -i eth1 --dport ssh -s 123.123.123.123 -m state --state NEW -j ACCEPTUnd logisch: Alles ist auf der Firewall verboten, was nicht ausdruecklich erlaubt ist.

Gruss Pit.

... Du kannst die Hosts auch einfach in die hosts.allow schreiben...

Danke,


... Du kannst die Hosts auch einfach in die hosts.allow schreiben...

aber wo wo finde ich den die host.allow und wie kann ich diese host.allow dann auf einen bestimten Dienst beschränken?

Wenn ich das dann richtig verstanden habe kann ich die Firewall also komplett zumachen und komme nur über die hosts in der hosts.allow ins netz?

raf

Du findest die Datei unter /etc. Schau mal in die Manpages.

man hosts.allow
man hosts.deny

In der hosts.deny sollte

ALL: ALL

stehen. In der /etc/hosts.allow dann

sshd: 192.168.20.0/24

In der /etc/hosts.deny erst mal alle dienste verbieten und in der /etc/hosts.allow explizit freigeben:
/etc/hosts.deny
ALL : ALL

/etc/hosts.allow
sshd : die.berechtigte.i.pNur als Beispiel.


Kreol

Danke euch beiden,

kann ich bei den IPs auch Wildcards benutzen wie beiuspielsweise:

sshd: 111.111.*.*

Un wenn ich diese beiden Datieen verändert habe muss ich nur noch die FW stoppen und wieder aktivieren und dann zieht sich die FW alle Angaben daraus?

Also noch mal DANKE

raf

Schau in die Manpage.

kann ich bei den IPs auch Wildcards benutzen wie beiuspielsweise:

sshd: 111.111.*.*

wurde Dir oben nicht empfohlen, die man-Pages zu lesen?

Oh OK rtfm ich seh's ja ein.

Danke noch mal

raf

Ist ja nicht böse gemeint, aber Lesen bildet bekanntlich. ;)

Daß Wildcards verwendet werden dürfen hast Du wohl schon selbst nachgelesen. Wg. der Firewall: Die liest die hosts.allow afaik nicht aus, den ssh Port (22) mußt Du dort freigeben.


Kreol

Iptables kümmert sich nicht um die hosts.allow, aber viele Dienste orientieren sich an hosts.allow und hosts.deny, so z.B. SSH, IMAPd usw.

In der manpage von hosts.allow steht unter anderem:


o A string that begins with a `.' character. A host name is
matched if the last components of its name match the specified
pattern. For example, the pattern `.tue.nl' matches the host
name `wzv.win.tue.nl'.


o A string that ends with a `.' character. A host address is
matched if its first numeric fields match the given string. For
example, the pattern `131.155.' matches the address of (almost)
every host on the Eindhoven University network (131.155.x.x).

Achtet also darauf wo ihr die Punkte macht.

Iptables kümmert sich nicht um die hosts.allow, aber viele Dienste orientieren sich an hosts.allow und hosts.deny, so z.B. SSH, IMAPd usw.
Allerdings nur, wenn sie gegen den TCP-Wrapper gebaut wurden. Ansonsten interessiert es die Dienste ebenfalls recht wenig, was in /etc/hosts.{allow,deny} steht.

Allerdings nur, wenn sie gegen den TCP-Wrapper gebaut wurden. Ansonsten interessiert es die Dienste ebenfalls recht wenig, was in /etc/hosts.{allow,deny} steht.

Korrekt. *zehnzeichen*