Fórum Root.cz

Hlavní témata => Server => Téma založeno: scientific 05. 10. 2021, 20:40:55

Název: hosts.deny a hosts.allow je ignorován
Přispěvatel: scientific 05. 10. 2021, 20:40:55

Ahoj všem, už hodinu se trápím s tím, že mi nefunguje hosts.{allow,deny} pro sshd na CentOS 7.

Používám to dle následujícího návodu: https://docs.rackspace.com/support/how-to/restrict-ssh-login-to-a-specific-ip-or-host/

Pak přes telnet vytvářím spojení z mého PC (host mimo allow) a spojení se normálně navazuje.

Zkoušel jsem něco jako: yum install tcp_wrappers , ale stejně to nefunguje.

Alternativa #1:

Pak jsem ještě zkoušel vkládat do /etc/ssh/ssh_config:

Kód: [Vybrat]

Match Address 127.0.0.*
    PubkeyAuthentication yes

Match Address server.my.domain
    PubkeyAuthentication yes
Po restartu sshd mi ale telnet normálně nadále spojení navazoval, takže to také nefungovalo.

Alternativa #2:

Pokud nemáte nějaké tipy, tak bych to holt řešil přes firewalld, ale nejraději bych to řešil přes hohsts, alternativně ssh_config, firewalld, je pro mě asi až na posledním nějhorším místě.

Děkuji za tipy.

Název: Re:hosts.deny a hosts.allow je ignorován
Přispěvatel: schrapnel 05. 10. 2021, 20:54:50

Tak ale ssh ti bude bežať normálne (telnet otvorí spojenie) ale sshd bude odmietať otvoriť ssh connection podľa konfigu.
Ak chceš aby bolo sshd nedostupné - sieťovo mimo definované hosty, tak jedine firewall.

- obmädzenia na vrstve sshd sú na aplikačnej vrstve (L7)
- obmädzenia na vrstve siete sú na ... sieťovej vrstve (L3)

Název: Re:hosts.deny a hosts.allow je ignorován
Přispěvatel: Petr Krčmář 05. 10. 2021, 21:20:02

Takové snahy jsou marné, OpenSSH odstranilo podporu TCP wrappers ve verzi 6.7, tedy v roce 2014. Pokud má být port zavřený, pak pomůže jedině předřazený firewall.

Název: Re:hosts.deny a hosts.allow je ignorován
Přispěvatel: Jose D 05. 10. 2021, 21:31:12

Citace: scientific  05. 10. 2021, 20:40:55

ssh_config

možná mi něco uniká, ale jestli řešíš access control na ssh serveru, tak chceš konfigurovat sshd_config a ne ssh_config.