PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH Zugriffe



DBGTMaster
12.10.06, 12:02
Hallo!

Kann mit irgendwo bei SLES 9 konfigurieren, so dass per SSH nur bestimmte IPs zugreifen können?

mfg

bla!zilla
12.10.06, 12:04
Ja. Geht bei jeder Distri, nennt sich /etc/hosts.allow und /etc/hosts.deny. Dazu einfach die passende Manpage lesen. Beispiel:

/etc/hosts.deny

ALL: ALL


/etc/hosts.allow

sshd: 192.168.32.1 10.73.42.9

DBGTMaster
12.10.06, 13:24
Ja. Geht bei jeder Distri, nennt sich /etc/hosts.allow und /etc/hosts.deny. Dazu einfach die passende Manpage lesen. Beispiel:

/etc/hosts.deny

ALL: ALL


/etc/hosts.allow

sshd: 192.168.32.1 10.73.42.9

und wie sieht das ganze nun bei allow aus, wenn das ganze netzwerk 102.168.0.X zugreifen kann?

sshd : 192.168.1.0/255.255.255.0 : ALLOW

ist das so korrekt?

mfg

Tomek
12.10.06, 13:57
Ja, richtig.

bla!zilla
12.10.06, 14:07
Der Eintrag

/etc/hosts.allow

sshd: 192.168.1.0/255.255.255.0


sollte reichen.

DBGTMaster
12.10.06, 14:33
Der Eintrag

/etc/hosts.allow

sshd: 192.168.1.0/255.255.255.0


sollte reichen.

da ich mit einer öffentlichen ip darauf zugreife, habe ich es nun ein wenig abgeändert:

In hosts.allow steht drin:

sshd : 62.212.170.34/255.255.255.255 : ALLOW

In hosts.deny steht drin (wobei die erste Zeile schon drin gestanden ist:

http-rman : ALL EXCEPT LOCAL
sshd : ALL : DENY

Den Dient sshd habe ich dann auch neu gestartet, nur das Problem ist, ich kann trotzdem noch von jeder IP aus zugreifen.

mfg

DBGTMaster
12.10.06, 15:28
auch ohne den : DENY und :ALLOW am schluss funkioniert es nicht.

ich habe nun auch schon probiert, nur bei deny "sshd: ALL" einzutragen und hosts.allow leerzulassen, funktioniert aber auch nicht.

mfg

Harry
12.10.06, 15:37
Hallo,

überprüfe bitte, ob der sshd überhaupt gegen den TCP-Wrapper gelinkt ist mit:

ldd $(type sshd)
Eine der gelinkten Bibliotheken sollte "libwrap.*" heissen. Falls es eine solche Zeile nicht in der Ausgabe gibt, dann kann der sshd nichts mit den Anweisungen in der /etc/hosts.{allow,deny} anfangen.

Wenn Du den Aufwand der ssh-Authentifizierung über User-Schlüsselpaare nicht scheust, dann kannst Du den SSH-Server auf PubKeyAuthentication only umstellen und auf dem Server in der Datei ~/.ssh/authorized_keys vor dem hinterlegten Public-Key noch folgende Option schreiben:

from="<FQDN des SSH-Clients> <Public-Key>"
Damit kann dann nur noch der Inhaber des Private-Keys vom zugelassenen Client mit dem Hostname FQDN zugreifen.

Das ist natürlich etwas mehr Aufwand, funktioniert dafür immer mit SSH und der olle TCP-Wrapper bleibt aussen vor :D

Harry

DBGTMaster
12.10.06, 15:52
Hallo,

überprüfe bitte, ob der sshd überhaupt gegen den TCP-Wrapper gelinkt ist mit:

ldd $(type sshd)
Eine der gelinkten Bibliotheken sollte "libwrap.*" heissen. Falls es eine solche Zeile nicht in der Ausgabe gibt, dann kann der sshd nichts mit den Anweisungen in der /etc/hosts.{allow,deny} anfangen.

Wenn Du den Aufwand der ssh-Authentifizierung über User-Schlüsselpaare nicht scheust, dann kannst Du den SSH-Server auf PubKeyAuthentication only umstellen und auf dem Server in der Datei ~/.ssh/authorized_keys vor dem hinterlegten Public-Key noch folgende Option schreiben:

from="<FQDN des SSH-Clients> <Public-Key>"
Damit kann dann nur noch der Inhaber des Private-Keys vom zugelassenen Client mit dem Hostname FQDN zugreifen.

Das ist natürlich etwas mehr Aufwand, funktioniert dafür immer mit SSH und der olle TCP-Wrapper bleibt aussen vor :D

Harry

danke, mir wäre aber meine variante trotzdem lieber :=).

Was muss ich denn nachinstallieren / konfigurieren, damit das dann auch richtig funktioniert?

mfg

EDIT: ich habe nun im yast tcp_wrapper nachinstalliert, reicht das?

Tomek
12.10.06, 16:11
Wenn das so nicht funktioniert, könntest du auch den SSH-Server an eine lokale IP binden:

ListenAddress 192.168.1.2
ListenAddress 192.168.2.5

DBGTMaster
12.10.06, 16:47
auf SLES 9 habe ich nun tcpd-devel nachinstalliert, nun funktioniert alles super.
Nur am SLOX (Suse Linux OpenExchange) Server gibt es das Paket im Yast nicht.


was tuhen?

DBGTMaster
13.10.06, 08:12
mmh, keiner eine ahnunh, ich kann einfach bei google ect. keine lösung finden.

DBGTMaster
13.10.06, 08:56
Danke für eure Hilfe, hat sich erledigt.

Mir is eingefallen dass in hosts.allow & .deny ein Zeilenumbruch am Schluss sein muss :D

jetzt funktionierts.

mfg

cane
20.10.06, 19:33
auf SLES 9 habe ich nun tcpd-devel nachinstalliert, nun funktioniert alles super.
Nur am SLOX (Suse Linux OpenExchange) Server gibt es das Paket im Yast nicht.


Generell würde ich den SLOX auf das Nachfolgeprodukt Open-Xchange Server 5 migrieren. Oder bist Du einer der ganz wenigen die noch Updates / Support für den SLOX bekommen?

mfg
cane