Re: Mas de tcpwrappers y denyhosts

To: Lista Debian <debian-user-spanish@lists.debian.org>
Subject: Re: Mas de tcpwrappers y denyhosts
From: Iñigo Tejedor Arrondo <inigo.listas@gmail.com>
Date: Mon, 24 Mar 2008 20:53:21 +0100
Message-id: <[🔎] 1206388401.12612.30.camel@crono.navarrux.org>
In-reply-to: <[🔎] 47E7EE99.4010306@gmail.com>
References: <[🔎] 47E7EE99.4010306@gmail.com>

El lun, 24-03-2008 a las 15:10 -0300, ciracusa escribió:
> Lista, siguiendo con el tema de tcpwrappers y denyhost he dado con este 
> artículo:
> 
> http://www.tu-chemnitz.de/docs/lindocs/RH9/RH-DOCS/rhl-rg-es-9/s1-tcpwrappers-access.html
> 
> En el se comenta -entre otras cosas- que las reglas de hosts.allow son 
> leidas primero que las de hosts.deny.
> 
> Teniendo en cuenta esto, no logro comprender la siguiente situación:
> 
> - Si partimos de la base que para poder conectarme a un servicio -en mi 
> caso ssh- debo haberlo habilitado expresamente en el archivo hosts.allow:
> 
> ej. /etc/hosts.allow
> sshd: 192.168.1.100
> 
> Que sentido tiene entonces que denyhosts agregue sus bloqueos al archivo 
> /etc/hosts.deny, si el que se lee primero es el allow?

Que tcpwrappers [0] es un proyecto anterior y desvinculado de denyhosts:

[0] ftp://ftp.porcupine.org/pub/security/index.html
[1] http://denyhosts.sourceforge.net/

De la propia página del autor de tcpwrappers:

"Wietse Venema's network logger, also known as TCPD or LOG_TCP. These
programs log the client host name of incoming telnet, ftp, rsh, rlogin,
finger etc. requests. Security options are: access control per host,
domain and/or service; detection of host name spoofing or host address
spoofing; booby traps to implement an early-warning system. The current
version supports the System V.4 TLI network programming interface
(Solaris, DG/UX) in addition to the traditional BSD sockets."

Y de la de denyhosts:
"What is DenyHosts?
DenyHosts is a script intended to be run by Linux system administrators
to help thwart SSH server attacks (also known as dictionary based
attacks and brute force attacks)."

Vamos que no hay nada que los vincule directamente, ni que diga que uno
tiene que funcionar bien con el otro. Wietse ni siquiera menciona el
sshen su descripción :-)

Para que denyhosts ignore IPs, tienes que crear el:

/var/lib/denyhosts/allowed-hosts

De acuerdo al fichero de conf. de debian y a:

http://denyhosts.sourceforge.net/faq.html#3_7

Si eso no te convence, quizás puedes abrir un BUG a la gente del
proyecto denyhosts, para que si una IP aparece en el hosts.allow, no se
moleste en agregarla al hosts.deny

> Bueno, espero haber sido claro en mi explicación.
> 
> Muchas Gracias.

Saludos

Reply to:

References:
- Mas de tcpwrappers y denyhosts
  - From: ciracusa <ciracusa@gmail.com>

Prev by Date: Sobre iptables con DROP por default
Next by Date: Problema con /dev/.static/dev
Previous by thread: Mas de tcpwrappers y denyhosts
Next by thread: flashplugin-nonfree cierra iceweasel
Index(es):
- Date
- Thread