From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dima@sakhalin.ru>
Date: Thu, 9 Jan 2003 19:20:57 +1000
From: Dmitry Lebkov <dima@sakhalin.ru>
To: community@altlinux.ru
Subject: Re: [Comm] sshd
Message-Id: <20030109192057.79be9f73.dima@sakhalin.ru>
In-Reply-To: <3E1D3A9F.2000207@iop.kiev.ua>
References: <3E1C403B.8060207@iop.kiev.ua>
	<20030109013434.61932ecd.dima@sakhalin.ru>
	<3E1C487E.9040403@iop.kiev.ua>
	<20030109031054.54c84625.dima@sakhalin.ru>
	<3E1D3A9F.2000207@iop.kiev.ua>
Organization: Sakhalin branch of DalSvyaz JSC
X-Mailer: Sylpheed version 0.8.8 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/20030109192057.79be9f73.dima@sakhalin.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Thu, 09 Jan 2003 11:02:23 +0200
"Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote:

> Dmitry Lebkov пишет:
> > On Wed, 08 Jan 2003 17:49:18 +0200
> > "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote:
> > 
> > 
> >>Dmitry Lebkov пишет:
> >>
> >>>On Wed, 08 Jan 2003 17:14:03 +0200
> >>>"Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote:
> >>>>Как это сделать? И какой формат записи для ListenAddress? Из 
> >>>>указанной в man абракадабры не понял. :(
> >>>
> >>>
> >>>Там же все прозрачно:
> >>>
> >>>ListenAddress host|IPv4_addr|IPv6_addr ==
> >>>  ListenAddress hostname.domain.tld или
> >>>  ListenAddress 10.0.0.1 или
> >>>  ListenAddress [в формате IPv6]
> >>>
> >>
> >>То есть, это замена AllowHosts? Нужно указать именно один адрес, 
> >>диапазон нельзя?
> > 
> > 
> > Дык нет же! Это указание ssh-демону, какой ip-адрес использовать для
> > входящих соединений. Т.е. если твой сервер имеет два интерфейса:
> > внешний (подключение в Интернет) - с реальным ip-адресом, внутренний
> > (локальная сеть) - с приватным (например 192.168.1.1) и ты хочешь,
> > чтоб по ssh к серверу можно было добраться только c хостов,
> > находящихся в локальной сети - в конфиге указываешь:
> > 
> > ListenAddress 192.168.1.1.
> > 
> > ListenAdress - адрес на котором сервер _принимает_ запросы на
> > соединение. И этот параметр не имеет почти никакого отношения к
> > ограничению доступа к серверу по протоколу ssh! :)
> > 
> Спасибо, дошло. :)

:)))

> > 
> >>>После адреса хоста можно указать порт, на котором слушать. В
> >>>качестве разделителя используется ':', т.е. параметр:
> >>>
> >>>ListenAddress 10.0.0.1:2222
> >>>
> >>>укажет ssh-демону слушать порт 2222 на адресе 10.0.0.1. Естественно,
> >>>данный адрес долже быть поднят на одном из интерфейсов/алиасов. :)
> >>>Директиву ListenAddress можно использовать несколькораз для указания
> >>>нескольких ip-адресов и/или портов.
> >>>
> >>>Вот вроде бы так ...
> >>>
> >>
> >>Ммм... Это не очень вяжется с указанием хоста. Или хост можно 
> >>указать только его собственный? Тогда это не замена... Почему же 
> >>стандартно там прописано 0.0.0.0?
> > 
> > 
> > Про замену никто не говорил. Адрес 0.0.0.0 в конфигурации говорит
> > ssh-демону, что необходимо ожидать подключения клиентов на всех
> > локальных ip-адресах. "Локальных" - имеются ввиду все ip-адреса
> > прописанные на интерфейсах данного хоста.
> > 
> Угу, разобрались.
> > Еще раз ... Для ограничения доступа к серверу по ssh с других хостов
> > используй файлы /etc/hosts.deny и /etc/hosts.allow. Смотри man
> > hosts_access - в нем описан формат этих файлов.
> > 
> Про эти файлы я в курсе. Но, их действие глобально. Или я снова 
> недопонял? А мне нужно было ограничить доступ _только_ к ssh. Другой 
> Дмитрий уже ткнул меня носом в нужную возможность. Это почти решает 
> проблему. Всем спасибо.

Так,  man hosts_access и то что написано ниже - внимательно читал?
Я же привел строчку для демона sshd. Глобально (т.е. ограничить доступ
ко ВСЕМ сетевым сервисам, ЗНАЮЩИМ про /etc/hosts.{deny|allow}) будет так:

/etc/hosts.deny

ALL:	ALL


> > Для примера, строка из /etc/hosts.deny:
> > 
> > sshd:	ALL EXCEPT 192.168.1.0/255.255.255.0
> > 
> > разрешит подключение к демону sshd только с адресов сети
> > 192.168.1.0/255.255.255.0. Всех остальных не пустит.

> 
> Главное, чтоб спрашивавший понял. ;)

Мало того, чтобы он еще и внимательно изучал, что написано и заглядывал
в документацию, про которую упоминается ... ;)


-- 
WBR, Dmitry Lebkov