SSH & доверенные хосты..

0

0

Можно ли в ssh 3.7 дать доступ к ssh только доверенным хостам не через привила iptables, а через настройку файла конфигурации sshd_config??

Ссылка

←	Драйвер ODBC для MySQL

portsentry

→

То есть имеется в виду, чтобы "левые" хосты сразу (еще до запроса логина/пароля/кодовой фразы) получали connection refused?

Прямой метод -- iptables.

Мудацкий метод -- inetd/xinetd (читать man sshd). Мудацким метод является по причине, указанной в мане -- перед коннектом sshd должен сгенерировать временный ключ, что займет примерно несколько десятков секунд.

Obidos ★★★★★
(05.02.04 12:27:39 MSK)

Ответ на: комментарий от Obidos 05.02.04 12:27:39 MSK

Всем спасибо, решилась проблемка, оказалось всё проще:
В файле /etc/hosts.deny
sshd: ALL
В файле /etc/hosts.allow
sshd: <пишим кому разрешить>

З.Ы. При этом у меня sshd работает как самомтоятельный демон, а не через xinetd, то есть xinetd даже не запузен на машинке. Всем спасибо.

Соединение по-моему разрывается сразу (через секунд 5), без генерации ключей, проверил просто подсоединившись простым telnet.

Ещё раз спасибо...

Andrey.

anonymous
(05.02.04 12:44:14 MSK)

Ответ на: комментарий от anonymous 05.02.04 12:44:14 MSK

В догонку.. А почему столько времени занимает генерация ключа?? Я когда конектюсь у меня это происходит меньше чем за 3-5 секунд...

anonymous
(05.02.04 12:47:01 MSK)

Ответ на: комментарий от anonymous 05.02.04 12:47:01 MSK

> А почему столько времени занимает генерация ключа?? Я когда конектюсь у меня это происходит меньше чем за 3-5 секунд...

А это потому что у вас sshd запущен как демон. Либо у вас весьма мощная машина. Я сам в исходниках не копался, доверяю man sshd, в котором сказано про "десятки секунд".

Obidos ★★★★★
(05.02.04 13:01:41 MSK)

BTW, в /etc/ssh/sshd_config можно использовать опцию AllowUsers в форме USER@HOST

Kirill ★
(05.02.04 13:29:06 MSK)

Ответ на: комментарий от Kirill 05.02.04 13:29:06 MSK

Это не то. Данная директива указывает, каким ПОЛЬЗОВАТЕЛЯМ можно логиниться. Автор же интересовался, как запретить коннекты с определенных АДРЕСОВ.

Obidos ★★★★★
(05.02.04 13:38:08 MSK)

Ответ на: комментарий от Obidos 05.02.04 13:38:08 MSK

2Obidos:
Не только каким пользователям. Я ж не зря сказал что форма - USER@HOST, т.е. *@someserver.ru пустит всех юзеров с somserver.ru

Kirill ★
(05.02.04 13:54:54 MSK)

Ответ на: комментарий от Kirill 05.02.04 13:54:54 MSK

а вот так

name@119.168.0.5

anonymous
(05.02.04 15:43:51 MSK)

Ссылка

Ответ на: комментарий от Obidos 05.02.04 13:01:41 MSK

2 Obidos.

Я проверял. На среднем пентиуме (400-800 Мгц) порядка 0.3-1 секунды. На 486DX2 8 секунд. Причем нет разницы, запускать ли через (x)inetd или отдельным демоном. На 486 видно, что эти 8 секунд сожраны дочерним процессом sshd. Впрочем в конфигах я сильно не ковырялся, они практически из коробки (не считая мелких брызг).

В man sshd я об этом тоже читал.

ansky ★★★★★
(06.02.04 02:41:15 MSK)

Ответ на: комментарий от ansky 06.02.04 02:41:15 MSK

Стало быть, man писали во времена 386sx25... ;-)))

Obidos ★★★★★
(06.02.04 08:41:50 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Драйвер ODBC для MySQL

Admin

portsentry

→

Похожие темы