Re: OpenSSH
Hallo,
> > Gibt es unter woody die Moeglichkeit, dafuer zu sorgen, dass der
> > OpenSSH-Server keine Verbindungen von Hosts annimmt, fuer die kein
> > DNS-Eintrag gefunden werden kann? Bis vor ein paar Minuten habe ich
> > angenommen, dass der Eintrag "ALL: PARANOID" in /etc/hosts.deny das
> > erledigt, aber dann habe ich den Logdateien eines Rechners gesehen,
> > dass sich jemand von einem Host ohne DNS-Namen eingeloggt hat.
>
> Probier mal diese Option in der sshd_config:
> VerifyReverseMapping
> Specifies whether sshd should try to verify the remote
> host name and check that the resolved host name for the
> remote IP address maps back to the very same IP
> address. The default is ``no''.
Die Option habe ich schon aktiviert, schon bevor ich den Eintrag in
/etc/hosts.deny gemacht habe. Sie bewirkt aber nur, dass das Reverse
mapping ueberprueft wird; wenn es nicht passt, wird das nur im Logfile
vermerkt, der Login aber trotzdem zugelassen,.
Ich kann auch mit Sicherheit sagen, dass der ssh-Daemon /etc/hosts.deny
auswertet. Ich habe naemlich festgestellt, dass nach dem Hinzufuegen des
Eintrags in /etc/hosts.deny Logins von einer bestimmten Adresse nicht
mehr zugelassen wurden, die vorher durch "VerifyReverseMapping yes" zwar
bemaengelt, aber trotzdem nicht blockiert wurde. Allerdings war bei
dieser Adresse sowohl ein Forward- als auch ein Reverse-Mapping Eintrag
vorhanden, die passten nur nicht zusammen.
Im jetzigen Fall allerdings hat sich jemand von einer Adresse
eingeloggt, fuer die gar kein DNS-Eintrag existiert, und da hat
/etc/hosts.deny nicht gewirkt.
Vielleicht ist das auch eher ein Problem des TCP-Wrappers?
Gruss
Christoph
Reply to:
- References:
- OpenSSH
- From: Christoph Pleger <Christoph.Pleger@uni-dortmund.de>
- Re: OpenSSH
- From: Jens Schuessler <jgs@trash.net>