Люди, подскажите как настроить SSH!!

man iptables

man hosts_access

3 ответа и все неправильные ! ман sshd ! man sshd.config !

>3 ответа и все неправильные ! ман sshd ! man sshd.config !

Про _3_ неправильных ответа это вы хорошо ... баян ;)

На самом деле все  ответы правильные ... ну может быть порядок перечисления должен быть такой:

man iptables
man sshd
man sshd_config
man 5 hosts_access

>man sshd
>man sshd_config

Будьте добры пример настройки, чтобы sshd _НЕ_ОТВЕЧАЛ_, а не _не пускал_
T.e. чтобы по
telnet ssh_server 22
небыло бы банера "SSH-2.0-OpenSSH_......."

imho, это не дело sshd

man hosts_access или man iptables

Напр что-то типа:

iptables -A INPUT -s $UNIVERSE -d $INTNET --dport 22 -j DROP

должно прибить запросы к порту 22 на $INTNET из $UNIVERSE

2sdio  (*) (30.03.2005 18:13:33)

man sshd
---------------------
SSHD(8)                     System Manager's Manual                    SSHD(8)

NAME
     sshd - OpenSSH SSH daemon


SYNOPSIS
     sshd [-46Ddeiqt] [-b bits] [-f config_file] [-g login_grace_time]
          [-h host_key_file] [-k key_gen_time] [-o option] [-p port] [-u len]
[skip]
     /etc/hosts.allow, /etc/hosts.deny
             Access controls that should be enforced by tcp-wrappers are
             defined here.  Further details are described in hosts_access(5).
---------------------


Во всём нужна система ....

Ты предлогаешь прийти к man hosts_access, через man sshd?
Как через тот же man sshd прийти к man iptables?
Может у тебя проблемы с логикой?
При твоей системе достаточно будет отвечать на любой вопрос "RTFM" или "В FAQ"
Поздравляю, тебя Шарик, ты ...

>При твоей системе достаточно будет отвечать на любой вопрос "RTFM" или "В FAQ"

Почему нет, если бы был соответствующий ответ в FAQ так бы и сказал... Если есть желание - иди напиши соответствующий кусок ...

>Поздравляю, тебя Шарик, ты ...

Фильтруй базар, сынок...

С тобой бесполезно разговаривать, ты слышишь только себя.
Захочешь помочь кому-нибудь, так и говори "Google.com все знает"

>С тобой бесполезно разговаривать, ты слышишь только себя.

Аналогично. Вы пробовали что нибудь преподавать ? Нет ?

Польза вашего совета для на тему "man hosts_access" для человека который всё это видит во 2-й с половиной раз равна 0, ибо откуда ему знать что sshd использует tcpwrapper-blah-blah-blha...

ну наберёт он вышеуказанную команду и увидит :

HOSTS_ACCESS(3) HOSTS_ACCESS(3)

NAME hosts_access, hosts_ctl, request_init, request_set - access control library

SYNOPSIS #include "tcpd.h"

extern int allow_severity; extern int deny_severity;

struct request_info *request_init(request, key, value, ..., 0) struct request_info *request;

struct request_info *request_set(request, key, value, ..., 0) struct request_info *request;

int hosts_access(request) struct request_info *request;

int hosts_ctl(daemon, client_name, client_addr, client_user) char *daemon; char *client_name; char *client_addr; char *client_user;

DESCRIPTION

The routines described in this document are part of the libwrap.a library. They imple- ment a rule-based access control language with optional shell commands that are exe- cuted when a rule fires. [skip]

После чего возникает законный вопрос - "а при чем тут ssh" ?

Как ему дойти к примеру до...

sshd:192.168.0.1

в hosts.allow ?

Короче завязываете непродуктивный флуд.

Усложняем вопрос: А как сделать так чтобы SSH пускала только рута, а остальных юзерей, зарегистрированных на машине игнорировала?

>А как сделать так чтобы SSH пускала только рута, а остальных юзерей, зарегистрированных на машине игнорировала?


А вот так совсем делать низзя!
Мальчонка один недавно попался именно на этом!

http://www.opennet.ru/openforum/vsluhforumID1/54648.html
http://asplinux.net/modules/newbb_plus/viewtopic.php?topic_id=22&forum=24

man sshd_config на предмет AllowUsers и DenyUsers

И не забудь

PermitRootLogin no

>PermitRootLogin no

Особенно в контексте _вопроса_ ;)))))

ну так нужно ж человека заранее предупредить. А от подмены IP никто не застрахован. ;)

>Почему нет, если бы был соответствующий ответ в FAQ так бы и сказал.

А здается мне, в Security FAQ что-то такое как раз и есть :)

Ну а почему нельзя к примеру в hosts.allow прописать sshd: 192.168.0.1 а в hosts.deny ALL:ALL
И пускать только рута с этого апишника а все остальные лесом. К чему обязательно заходить под юзером? Может даже и к лучшему чтоб SSH пускал только рута чтоб у обычного юзера не было возможности попасть в шелл хрен знает зачем или я не прав??