SSHD - AllowHosts
Jarosław Kamper
jack w jack.eu.org
Pon, 21 Paź 2002, 20:24:24 CEST
Dnia pią 18. październik 2002 09:36, Tomasz Kłoczko napisał:
> On Fri, 18 Oct 2002, Arek wrote:
> > On Thu, 17 Oct 2002 22:22:29 +0200 (CEST), you wrote:
> > >> > Kiedys byla mozliwosc okreslenia hostow, ktore moga laczyc sie przez
> > >> > sshd. Bylo to zalatwiane przez AllowHosts a teraz niestety to nie
> > >> > dziala. Jest jakis prosty zamiennik?
> >
> > AllowUsers
> >
> > >Strzelanie do wróbla z armaty .. wpis w /etc/tcpd/host.deny przecież
> > >zupełnie wystarczy :>
> >
> > jak chce sie ograniczać per urzytkownik to już nie wystaczy
>
> W sumie jest to do zrobienia nieco inaczej z rozciagnięciem na wszystkie
> usługi. Poprostu trzebaby obecny shemat związany z blacklist zastąpić
> podobnym używajacym pam_access.
> Wtedy odpowidnie kawałki kodu odpowidajace za tego typu funkcje w sshd
> możnaby nawet .. wyciąć.
>
> I coś takiego wartoby spróbować wdrożyć w 2.0.
Czy coś mi umknęło, czy mamy już 1.0 ?
Wracając do wątku, coś mi się o uszy obiło, że tcp_wrappers są bałdzo podatne
na wszelkiego rodzaju DoSy - nie pytajcie o szczegóły - nie znam się na tym
;)
A rozwiązania typu:
[jack w pld-polbrokers jack]$ sudo ipchains -L -n
Chain input (policy ACCEPT):
target prot opt source destination ports
ACCEPT tcp ------ moje_sdi komp_z_opieki * -> 22
REJECT tcp ----l- 0.0.0.0/0 komp_z_opieki * ->
0:1023
..bałdzo mi się podobają ;)
--
Jarosław Kamper <jack w jack.eu.org>
Więcej informacji o liście dyskusyjnej pld-users-pl