hosts.deny a hosts.allow je ignorován

hosts.deny a hosts.allow je ignorován
« kdy: 05. 10. 2021, 20:40:55 »
Ahoj všem, už hodinu se trápím s tím, že mi nefunguje hosts.{allow,deny} pro sshd na CentOS 7.

Používám to dle následujícího návodu: https://docs.rackspace.com/support/how-to/restrict-ssh-login-to-a-specific-ip-or-host/

Pak přes telnet vytvářím spojení z mého PC (host mimo allow) a spojení se normálně navazuje.

Zkoušel jsem něco jako: yum install tcp_wrappers , ale stejně to nefunguje.

Alternativa #1:

Pak jsem ještě zkoušel vkládat do /etc/ssh/ssh_config:

Kód: [Vybrat]
Match Address 127.0.0.*
    PubkeyAuthentication yes

Match Address server.my.domain
    PubkeyAuthentication yes

Po restartu sshd mi ale telnet normálně nadále spojení navazoval, takže to také nefungovalo.

Alternativa #2:

Pokud nemáte nějaké tipy, tak bych to holt řešil přes firewalld, ale nejraději bych to řešil přes hohsts, alternativně ssh_config, firewalld, je pro mě asi až na posledním nějhorším místě.

Děkuji za tipy.


Re:hosts.deny a hosts.allow je ignorován
« Odpověď #1 kdy: 05. 10. 2021, 20:54:50 »
Tak ale ssh ti bude bežať normálne (telnet otvorí spojenie) ale sshd bude odmietať otvoriť ssh connection podľa konfigu.
Ak chceš aby bolo sshd nedostupné - sieťovo mimo definované hosty, tak jedine firewall.

- obmädzenia na vrstve sshd sú na aplikačnej vrstve (L7)
- obmädzenia na vrstve siete sú na ... sieťovej vrstve (L3)

Re:hosts.deny a hosts.allow je ignorován
« Odpověď #2 kdy: 05. 10. 2021, 21:20:02 »
Takové snahy jsou marné, OpenSSH odstranilo podporu TCP wrappers ve verzi 6.7, tedy v roce 2014. Pokud má být port zavřený, pak pomůže jedině předřazený firewall.

Jose D

  • *****
  • 696
    • Zobrazit profil
Re:hosts.deny a hosts.allow je ignorován
« Odpověď #3 kdy: 05. 10. 2021, 21:31:12 »
ssh_config

možná mi něco uniká, ale jestli řešíš access control na ssh serveru, tak chceš konfigurovat sshd_config a ne ssh_config.