Re: OpenSSH

[Christoph Pleger <Christoph.Pleger@uni-dortmund.de>]

Hallo,

> > Gibt es unter woody die Moeglichkeit, dafuer zu sorgen, dass der
> > OpenSSH-Server keine Verbindungen von Hosts annimmt, fuer die kein
> > DNS-Eintrag gefunden werden kann? Bis vor ein paar Minuten habe ich
> > angenommen, dass der Eintrag "ALL: PARANOID" in /etc/hosts.deny das
> > erledigt, aber dann habe ich den Logdateien eines Rechners gesehen,
> > dass sich jemand von einem Host ohne DNS-Namen eingeloggt hat.
> 
> Probier mal diese Option in der sshd_config:
> VerifyReverseMapping
>           Specifies whether sshd should try to verify the  remote
>           host name and check that the resolved host name for the
>           remote IP  address  maps  back  to  the  very  same  IP
>           address.  The default is ``no''.

Die Option habe ich schon aktiviert, schon bevor ich den Eintrag in
/etc/hosts.deny gemacht habe. Sie bewirkt aber nur, dass das Reverse
mapping ueberprueft wird; wenn es nicht passt, wird das nur im Logfile
vermerkt, der Login aber trotzdem zugelassen,.

Ich kann auch mit Sicherheit sagen, dass der ssh-Daemon /etc/hosts.deny
auswertet. Ich habe naemlich festgestellt, dass nach dem Hinzufuegen des
Eintrags in /etc/hosts.deny Logins von einer bestimmten Adresse nicht
mehr zugelassen wurden, die vorher durch "VerifyReverseMapping yes" zwar
bemaengelt, aber trotzdem nicht blockiert wurde. Allerdings war bei
dieser Adresse sowohl ein Forward- als auch ein Reverse-Mapping Eintrag
vorhanden, die passten nur nicht zusammen.

Im jetzigen Fall allerdings hat sich jemand von einer Adresse
eingeloggt, fuer die gar kein DNS-Eintrag existiert, und da hat
/etc/hosts.deny nicht gewirkt.

Vielleicht ist das auch eher ein Problem des TCP-Wrappers?

Gruss
  Christoph