* [Comm] sshd @ 2003-01-08 15:14 Andriy Dobrovol's'kii 2003-01-08 15:34 ` Dmitry Lebkov 2003-01-09 7:36 ` Dmytro O. Redchuk 0 siblings, 2 replies; 16+ messages in thread From: Andriy Dobrovol's'kii @ 2003-01-08 15:14 UTC (permalink / raw) To: community Hi, Возникла необходимость настроить в sshd ограничение на прослушиваемые хосты. В man указание на параметр AllowHosts отсутствует. При его добавлении в конфиг sshd просто рушится. Как это сделать? И какой формат записи для ListenAddress? Из указанной в man абракадабры не понял. :( -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 265-7824 Department of Gas Electronics Fax: (380-44) 265-2329 Institute of Physics of NASU ********************************************************************* ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-08 15:14 [Comm] sshd Andriy Dobrovol's'kii @ 2003-01-08 15:34 ` Dmitry Lebkov 2003-01-08 15:41 ` Dmitry Lebkov 2003-01-08 15:49 ` Andriy Dobrovol's'kii 2003-01-09 7:36 ` Dmytro O. Redchuk 1 sibling, 2 replies; 16+ messages in thread From: Dmitry Lebkov @ 2003-01-08 15:34 UTC (permalink / raw) To: community On Wed, 08 Jan 2003 17:14:03 +0200 "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > Hi, > Возникла необходимость настроить в sshd ограничение на > прослушиваемые хосты. В man указание на параметр AllowHosts > отсутствует. При его добавлении в конфиг sshd просто рушится. Используй /etc/host.{allow|deny} для контроля тех, кому разрешен доступ по ssh. > Как это сделать? И какой формат записи для ListenAddress? Из > указанной в man абракадабры не понял. :( Там же все прозрачно: ListenAddress host|IPv4_addr|IPv6_addr == ListenAddress hostname.domain.tld или ListenAddress 10.0.0.1 или ListenAddress [в формате IPv6] После адреса хоста можно указать порт, на котором слушать. В качестве разделителя используется ':', т.е. параметр: ListenAddress 10.0.0.1:2222 укажет ssh-демону слушать порт 2222 на адресе 10.0.0.1. Естественно, данный адрес долже быть поднят на одном из интерфейсов/алиасов. :) Директиву ListenAddress можно использовать несколькораз для указания нескольких ip-адресов и/или портов. Вот вроде бы так ... -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-08 15:34 ` Dmitry Lebkov @ 2003-01-08 15:41 ` Dmitry Lebkov 2003-01-08 15:49 ` Andriy Dobrovol's'kii 1 sibling, 0 replies; 16+ messages in thread From: Dmitry Lebkov @ 2003-01-08 15:41 UTC (permalink / raw) To: community On Thu, 9 Jan 2003 01:34:34 +1000 Dmitry Lebkov <dima@sakhalin.ru> wrote: > On Wed, 08 Jan 2003 17:14:03 +0200 > "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > > > Hi, > > Возникла необходимость настроить в sshd ограничение на > > прослушиваемые хосты. В man указание на параметр AllowHosts > > отсутствует. При его добавлении в конфиг sshd просто рушится. > > Используй /etc/host.{allow|deny} для контроля тех, кому разрешен > доступ по ssh. Оопс, поправка: /etc/hosts.{allow|deny}. См. man hosts_access. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-08 15:34 ` Dmitry Lebkov 2003-01-08 15:41 ` Dmitry Lebkov @ 2003-01-08 15:49 ` Andriy Dobrovol's'kii 2003-01-08 17:07 ` Sergey Vlasov 2003-01-08 17:10 ` Dmitry Lebkov 1 sibling, 2 replies; 16+ messages in thread From: Andriy Dobrovol's'kii @ 2003-01-08 15:49 UTC (permalink / raw) To: community Dmitry Lebkov пишет: > On Wed, 08 Jan 2003 17:14:03 +0200 > "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > > >>Hi, >>Возникла необходимость настроить в sshd ограничение на >>прослушиваемые хосты. В man указание на параметр AllowHosts >>отсутствует. При его добавлении в конфиг sshd просто рушится. > > > Используй /etc/host.{allow|deny} для контроля тех, кому разрешен > доступ по ssh. > > >>Как это сделать? И какой формат записи для ListenAddress? Из >>указанной в man абракадабры не понял. :( > > > Там же все прозрачно: > > ListenAddress host|IPv4_addr|IPv6_addr == > ListenAddress hostname.domain.tld или > ListenAddress 10.0.0.1 или > ListenAddress [в формате IPv6] > То есть, это замена AllowHosts? Нужно указать именно один адрес, диапазон нельзя? > После адреса хоста можно указать порт, на котором слушать. В качестве > разделителя используется ':', т.е. параметр: > > ListenAddress 10.0.0.1:2222 > > укажет ssh-демону слушать порт 2222 на адресе 10.0.0.1. Естественно, > данный адрес долже быть поднят на одном из интерфейсов/алиасов. :) > Директиву ListenAddress можно использовать несколькораз для указания > нескольких ip-адресов и/или портов. > > Вот вроде бы так ... > Ммм... Это не очень вяжется с указанием хоста. Или хост можно указать только его собственный? Тогда это не замена... Почему же стандартно там прописано 0.0.0.0? > > -- > WBR, Dmitry Lebkov > -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 265-7824 Department of Gas Electronics Fax: (380-44) 265-2329 Institute of Physics of NASU ********************************************************************* ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-08 15:49 ` Andriy Dobrovol's'kii @ 2003-01-08 17:07 ` Sergey Vlasov 2003-01-08 17:10 ` Dmitry Lebkov 1 sibling, 0 replies; 16+ messages in thread From: Sergey Vlasov @ 2003-01-08 17:07 UTC (permalink / raw) To: community On Wed, 08 Jan 2003 17:49:18 +0200 "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > > После адреса хоста можно указать порт, на котором слушать. В качестве > > разделителя используется ':', т.е. параметр: > > > > ListenAddress 10.0.0.1:2222 > > > > укажет ssh-демону слушать порт 2222 на адресе 10.0.0.1. Естественно, > > данный адрес долже быть поднят на одном из интерфейсов/алиасов. :) > > Директиву ListenAddress можно использовать несколькораз для указания > > нескольких ip-адресов и/или портов. > > > > Вот вроде бы так ... > > > Ммм... Это не очень вяжется с указанием хоста. Или хост можно > указать только его собственный? Именно - эта опция предназначена для случая, когда у машины есть несколько адресов, но sshd должен принимать соединения только по некоторым из них. К удаленным адресам это не имеет никакого отношения. > Тогда это не замена... Почему же > стандартно там прописано 0.0.0.0? INADDR_ANY - привязка без указания локального адреса. ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-08 15:49 ` Andriy Dobrovol's'kii 2003-01-08 17:07 ` Sergey Vlasov @ 2003-01-08 17:10 ` Dmitry Lebkov 2003-01-09 9:02 ` Andriy Dobrovol's'kii 2003-01-15 16:49 ` Andriy Dobrovol's'kii 1 sibling, 2 replies; 16+ messages in thread From: Dmitry Lebkov @ 2003-01-08 17:10 UTC (permalink / raw) To: community On Wed, 08 Jan 2003 17:49:18 +0200 "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > Dmitry Lebkov пишет: > > On Wed, 08 Jan 2003 17:14:03 +0200 > > "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > > > > > >>Hi, > >>Возникла необходимость настроить в sshd ограничение на > >>прослушиваемые хосты. В man указание на параметр AllowHosts > >>отсутствует. При его добавлении в конфиг sshd просто рушится. > > > > > > Используй /etc/host.{allow|deny} для контроля тех, кому разрешен > > доступ по ssh. > > > > > >>Как это сделать? И какой формат записи для ListenAddress? Из > >>указанной в man абракадабры не понял. :( > > > > > > Там же все прозрачно: > > > > ListenAddress host|IPv4_addr|IPv6_addr == > > ListenAddress hostname.domain.tld или > > ListenAddress 10.0.0.1 или > > ListenAddress [в формате IPv6] > > > То есть, это замена AllowHosts? Нужно указать именно один адрес, > диапазон нельзя? Дык нет же! Это указание ssh-демону, какой ip-адрес использовать для входящих соединений. Т.е. если твой сервер имеет два интерфейса: внешний (подключение в Интернет) - с реальным ip-адресом, внутренний (локальная сеть) - с приватным (например 192.168.1.1) и ты хочешь, чтоб по ssh к серверу можно было добраться только c хостов, находящихся в локальной сети - в конфиге указываешь: ListenAddress 192.168.1.1. ListenAdress - адрес на котором сервер _принимает_ запросы на соединение. И этот параметр не имеет почти никакого отношения к ограничению доступа к серверу по протоколу ssh! :) > > > После адреса хоста можно указать порт, на котором слушать. В > > качестве разделителя используется ':', т.е. параметр: > > > > ListenAddress 10.0.0.1:2222 > > > > укажет ssh-демону слушать порт 2222 на адресе 10.0.0.1. Естественно, > > данный адрес долже быть поднят на одном из интерфейсов/алиасов. :) > > Директиву ListenAddress можно использовать несколькораз для указания > > нескольких ip-адресов и/или портов. > > > > Вот вроде бы так ... > > > Ммм... Это не очень вяжется с указанием хоста. Или хост можно > указать только его собственный? Тогда это не замена... Почему же > стандартно там прописано 0.0.0.0? Про замену никто не говорил. Адрес 0.0.0.0 в конфигурации говорит ssh-демону, что необходимо ожидать подключения клиентов на всех локальных ip-адресах. "Локальных" - имеются ввиду все ip-адреса прописанные на интерфейсах данного хоста. Еще раз ... Для ограничения доступа к серверу по ssh с других хостов используй файлы /etc/hosts.deny и /etc/hosts.allow. Смотри man hosts_access - в нем описан формат этих файлов. Для примера, строка из /etc/hosts.deny: sshd: ALL EXCEPT 192.168.1.0/255.255.255.0 разрешит подключение к демону sshd только с адресов сети 192.168.1.0/255.255.255.0. Всех остальных не пустит. Уффф... Уже сам почти запутался ... %))) -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-08 17:10 ` Dmitry Lebkov @ 2003-01-09 9:02 ` Andriy Dobrovol's'kii 2003-01-09 9:20 ` Dmitry Lebkov 2003-01-15 16:49 ` Andriy Dobrovol's'kii 1 sibling, 1 reply; 16+ messages in thread From: Andriy Dobrovol's'kii @ 2003-01-09 9:02 UTC (permalink / raw) To: community Dmitry Lebkov пишет: > On Wed, 08 Jan 2003 17:49:18 +0200 > "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > > >>Dmitry Lebkov пишет: >> >>>On Wed, 08 Jan 2003 17:14:03 +0200 >>>"Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: >>>>Как это сделать? И какой формат записи для ListenAddress? Из >>>>указанной в man абракадабры не понял. :( >>> >>> >>>Там же все прозрачно: >>> >>>ListenAddress host|IPv4_addr|IPv6_addr == >>> ListenAddress hostname.domain.tld или >>> ListenAddress 10.0.0.1 или >>> ListenAddress [в формате IPv6] >>> >> >>То есть, это замена AllowHosts? Нужно указать именно один адрес, >>диапазон нельзя? > > > Дык нет же! Это указание ssh-демону, какой ip-адрес использовать для > входящих соединений. Т.е. если твой сервер имеет два интерфейса: > внешний (подключение в Интернет) - с реальным ip-адресом, внутренний > (локальная сеть) - с приватным (например 192.168.1.1) и ты хочешь, > чтоб по ssh к серверу можно было добраться только c хостов, > находящихся в локальной сети - в конфиге указываешь: > > ListenAddress 192.168.1.1. > > ListenAdress - адрес на котором сервер _принимает_ запросы на > соединение. И этот параметр не имеет почти никакого отношения к > ограничению доступа к серверу по протоколу ssh! :) > Спасибо, дошло. :) > >>>После адреса хоста можно указать порт, на котором слушать. В >>>качестве разделителя используется ':', т.е. параметр: >>> >>>ListenAddress 10.0.0.1:2222 >>> >>>укажет ssh-демону слушать порт 2222 на адресе 10.0.0.1. Естественно, >>>данный адрес долже быть поднят на одном из интерфейсов/алиасов. :) >>>Директиву ListenAddress можно использовать несколькораз для указания >>>нескольких ip-адресов и/или портов. >>> >>>Вот вроде бы так ... >>> >> >>Ммм... Это не очень вяжется с указанием хоста. Или хост можно >>указать только его собственный? Тогда это не замена... Почему же >>стандартно там прописано 0.0.0.0? > > > Про замену никто не говорил. Адрес 0.0.0.0 в конфигурации говорит > ssh-демону, что необходимо ожидать подключения клиентов на всех > локальных ip-адресах. "Локальных" - имеются ввиду все ip-адреса > прописанные на интерфейсах данного хоста. > Угу, разобрались. > Еще раз ... Для ограничения доступа к серверу по ssh с других хостов > используй файлы /etc/hosts.deny и /etc/hosts.allow. Смотри man > hosts_access - в нем описан формат этих файлов. > Про эти файлы я в курсе. Но, их действие глобально. Или я снова недопонял? А мне нужно было ограничить доступ _только_ к ssh. Другой Дмитрий уже ткнул меня носом в нужную возможность. Это почти решает проблему. Всем спасибо. > Для примера, строка из /etc/hosts.deny: > > sshd: ALL EXCEPT 192.168.1.0/255.255.255.0 > > разрешит подключение к демону sshd только с адресов сети > 192.168.1.0/255.255.255.0. Всех остальных не пустит. > > > Уффф... Уже сам почти запутался ... %))) > > -- > WBR, Dmitry Lebkov Главное, чтоб спрашивавший понял. ;) -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 265-7824 Department of Gas Electronics Fax: (380-44) 265-2329 Institute of Physics of NASU ********************************************************************* ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-09 9:02 ` Andriy Dobrovol's'kii @ 2003-01-09 9:20 ` Dmitry Lebkov 2003-01-09 11:09 ` Andriy Dobrovol's'kii 0 siblings, 1 reply; 16+ messages in thread From: Dmitry Lebkov @ 2003-01-09 9:20 UTC (permalink / raw) To: community On Thu, 09 Jan 2003 11:02:23 +0200 "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > Dmitry Lebkov пишет: > > On Wed, 08 Jan 2003 17:49:18 +0200 > > "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > > > > > >>Dmitry Lebkov пишет: > >> > >>>On Wed, 08 Jan 2003 17:14:03 +0200 > >>>"Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > >>>>Как это сделать? И какой формат записи для ListenAddress? Из > >>>>указанной в man абракадабры не понял. :( > >>> > >>> > >>>Там же все прозрачно: > >>> > >>>ListenAddress host|IPv4_addr|IPv6_addr == > >>> ListenAddress hostname.domain.tld или > >>> ListenAddress 10.0.0.1 или > >>> ListenAddress [в формате IPv6] > >>> > >> > >>То есть, это замена AllowHosts? Нужно указать именно один адрес, > >>диапазон нельзя? > > > > > > Дык нет же! Это указание ssh-демону, какой ip-адрес использовать для > > входящих соединений. Т.е. если твой сервер имеет два интерфейса: > > внешний (подключение в Интернет) - с реальным ip-адресом, внутренний > > (локальная сеть) - с приватным (например 192.168.1.1) и ты хочешь, > > чтоб по ssh к серверу можно было добраться только c хостов, > > находящихся в локальной сети - в конфиге указываешь: > > > > ListenAddress 192.168.1.1. > > > > ListenAdress - адрес на котором сервер _принимает_ запросы на > > соединение. И этот параметр не имеет почти никакого отношения к > > ограничению доступа к серверу по протоколу ssh! :) > > > Спасибо, дошло. :) :))) > > > >>>После адреса хоста можно указать порт, на котором слушать. В > >>>качестве разделителя используется ':', т.е. параметр: > >>> > >>>ListenAddress 10.0.0.1:2222 > >>> > >>>укажет ssh-демону слушать порт 2222 на адресе 10.0.0.1. Естественно, > >>>данный адрес долже быть поднят на одном из интерфейсов/алиасов. :) > >>>Директиву ListenAddress можно использовать несколькораз для указания > >>>нескольких ip-адресов и/или портов. > >>> > >>>Вот вроде бы так ... > >>> > >> > >>Ммм... Это не очень вяжется с указанием хоста. Или хост можно > >>указать только его собственный? Тогда это не замена... Почему же > >>стандартно там прописано 0.0.0.0? > > > > > > Про замену никто не говорил. Адрес 0.0.0.0 в конфигурации говорит > > ssh-демону, что необходимо ожидать подключения клиентов на всех > > локальных ip-адресах. "Локальных" - имеются ввиду все ip-адреса > > прописанные на интерфейсах данного хоста. > > > Угу, разобрались. > > Еще раз ... Для ограничения доступа к серверу по ssh с других хостов > > используй файлы /etc/hosts.deny и /etc/hosts.allow. Смотри man > > hosts_access - в нем описан формат этих файлов. > > > Про эти файлы я в курсе. Но, их действие глобально. Или я снова > недопонял? А мне нужно было ограничить доступ _только_ к ssh. Другой > Дмитрий уже ткнул меня носом в нужную возможность. Это почти решает > проблему. Всем спасибо. Так, man hosts_access и то что написано ниже - внимательно читал? Я же привел строчку для демона sshd. Глобально (т.е. ограничить доступ ко ВСЕМ сетевым сервисам, ЗНАЮЩИМ про /etc/hosts.{deny|allow}) будет так: /etc/hosts.deny ALL: ALL > > Для примера, строка из /etc/hosts.deny: > > > > sshd: ALL EXCEPT 192.168.1.0/255.255.255.0 > > > > разрешит подключение к демону sshd только с адресов сети > > 192.168.1.0/255.255.255.0. Всех остальных не пустит. > > Главное, чтоб спрашивавший понял. ;) Мало того, чтобы он еще и внимательно изучал, что написано и заглядывал в документацию, про которую упоминается ... ;) -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-09 9:20 ` Dmitry Lebkov @ 2003-01-09 11:09 ` Andriy Dobrovol's'kii 2003-01-09 23:01 ` Dmitry Lebkov 0 siblings, 1 reply; 16+ messages in thread From: Andriy Dobrovol's'kii @ 2003-01-09 11:09 UTC (permalink / raw) To: community Dmitry Lebkov пишет: > > Мало того, чтобы он еще и внимательно изучал, что написано и заглядывал > в документацию, про которую упоминается ... ;) > > Угу. Спешка плохой советчик. Щас "полегчало". Буду читать внимательней. :) Начало строчки (sshd:) в Вашем примере я и правда проглядел. Просто, в каких-то рекомендациях читал, что ограничивать доступ к службам из этих файлов - плохая практика. Кроме того, раз есть встроенные средства программы, почему бы ими не воспользоваться. -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 265-7824 Department of Gas Electronics Fax: (380-44) 265-2329 Institute of Physics of NASU ********************************************************************* ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-09 11:09 ` Andriy Dobrovol's'kii @ 2003-01-09 23:01 ` Dmitry Lebkov 2003-01-10 7:47 ` Dmytro O. Redchuk 0 siblings, 1 reply; 16+ messages in thread From: Dmitry Lebkov @ 2003-01-09 23:01 UTC (permalink / raw) To: community On Thu, 09 Jan 2003 13:09:03 +0200 "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > Dmitry Lebkov пишет: > > > > Мало того, чтобы он еще и внимательно изучал, что написано и заглядывал > > в документацию, про которую упоминается ... ;) > > > > > Угу. Спешка плохой советчик. Щас "полегчало". Буду читать > внимательней. :) > Начало строчки (sshd:) в Вашем примере я и правда проглядел. Просто, > в каких-то рекомендациях читал, что ограничивать доступ к службам из > этих файлов - плохая практика. Кроме того, раз есть встроенные > средства программы, почему бы ими не воспользоваться. Я нигде не встречал _таких_ советов! :) Насколько я знаю, использование библиотеки tcp_wrappers (функции, работающие c hosts.{deny|allow}) в программах есть достаточно стандартный метод ограничения доступа. Из опыта: стараюсь использовать комбинацию ограничений только в случае требования параноидальных :) настроек - iptables+tcpwrappers+собственные_сердства_сервиса. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-09 23:01 ` Dmitry Lebkov @ 2003-01-10 7:47 ` Dmytro O. Redchuk 2003-01-10 12:17 ` Dmitry Lebkov 0 siblings, 1 reply; 16+ messages in thread From: Dmytro O. Redchuk @ 2003-01-10 7:47 UTC (permalink / raw) To: ALT Community On Fri, Jan 10, 2003 at 09:01:18AM +1000, Dmitry Lebkov wrote: > > Из опыта: стараюсь использовать комбинацию ограничений только в случае требования > параноидальных :) настроек - iptables+tcpwrappers+собственные_сердства_сервиса. Я, почему-то, "наоборот": iptables+собственные_сердства_сервиса+tcpwrappers. Дело вкуса? > > -- > WBR, Dmitry Lebkov > _______________________________________________ -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-10 7:47 ` Dmytro O. Redchuk @ 2003-01-10 12:17 ` Dmitry Lebkov 0 siblings, 0 replies; 16+ messages in thread From: Dmitry Lebkov @ 2003-01-10 12:17 UTC (permalink / raw) To: community On Fri, 10 Jan 2003 09:47:48 +0200 "Dmytro O. Redchuk" <dor@kiev-online.net> wrote: > On Fri, Jan 10, 2003 at 09:01:18AM +1000, Dmitry Lebkov wrote: > > > > Из опыта: стараюсь использовать комбинацию ограничений только в > > случае требования параноидальных :) настроек - > > iptables+tcpwrappers+собственные_сердства_сервиса. > Я, почему-то, "наоборот": > iptables+собственные_сердства_сервиса+tcpwrappers. > > Дело вкуса? Наверное ... :) Мне проще, если сервис поддерживает tcpwrappers и его функциональность достаточна для моих целей, держать ограничения в одном месте, чем перетряхивать отдельные конфиги ... -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-08 17:10 ` Dmitry Lebkov 2003-01-09 9:02 ` Andriy Dobrovol's'kii @ 2003-01-15 16:49 ` Andriy Dobrovol's'kii 2003-01-15 23:48 ` Dmitry Lebkov 1 sibling, 1 reply; 16+ messages in thread From: Andriy Dobrovol's'kii @ 2003-01-15 16:49 UTC (permalink / raw) To: community Dmitry Lebkov пишет: > > Еще раз ... Для ограничения доступа к серверу по ssh с других хостов > используй файлы /etc/hosts.deny и /etc/hosts.allow. Смотри man > hosts_access - в нем описан формат этих файлов. > > man hosts_access No manual entry for hosts_access Что нужно поставить, чтоб означеный man появился? > > -- > WBR, Dmitry Lebkov -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 265-7824 Department of Gas Electronics Fax: (380-44) 265-2329 Institute of Physics of NASU ********************************************************************* ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-15 16:49 ` Andriy Dobrovol's'kii @ 2003-01-15 23:48 ` Dmitry Lebkov 0 siblings, 0 replies; 16+ messages in thread From: Dmitry Lebkov @ 2003-01-15 23:48 UTC (permalink / raw) To: community On Wed, 15 Jan 2003 18:49:29 +0200 "Andriy Dobrovol's'kii" <dobr@iop.kiev.ua> wrote: > Dmitry Lebkov пишет: > > > > Еще раз ... Для ограничения доступа к серверу по ssh с других хостов > > используй файлы /etc/hosts.deny и /etc/hosts.allow. Смотри man > > hosts_access - в нем описан формат этих файлов. > > > > > man hosts_access > No manual entry for hosts_access > Что нужно поставить, чтоб означеный man появился? $ rpm -qf /usr/share/man/man5/hosts_access.5.gz tcp_wrappers-7.6-alt2 -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-08 15:14 [Comm] sshd Andriy Dobrovol's'kii 2003-01-08 15:34 ` Dmitry Lebkov @ 2003-01-09 7:36 ` Dmytro O. Redchuk 2003-01-09 8:52 ` Andriy Dobrovol's'kii 1 sibling, 1 reply; 16+ messages in thread From: Dmytro O. Redchuk @ 2003-01-09 7:36 UTC (permalink / raw) To: ALT Community On Wed, Jan 08, 2003 at 05:14:03PM +0200, Andriy Dobrovol's'kii wrote: > Hi, > Возникла необходимость настроить в sshd ограничение на > прослушиваемые хосты. В man указание на параметр AllowHosts Кроме hosts.{allow,deny} можно использовать параметр в sshd_config -- AllowUsers. Допускается формат USER@HOST, вместо того и/или другого можно ставить * Не проверял :-) > отсутствует. При его добавлении в конфиг sshd просто рушится. > Как это сделать? И какой формат записи для ListenAddress? Из > указанной в man абракадабры не понял. :( > -- > Rgrds, > Andriy -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] sshd 2003-01-09 7:36 ` Dmytro O. Redchuk @ 2003-01-09 8:52 ` Andriy Dobrovol's'kii 0 siblings, 0 replies; 16+ messages in thread From: Andriy Dobrovol's'kii @ 2003-01-09 8:52 UTC (permalink / raw) To: community Dmytro O. Redchuk пишет: > On Wed, Jan 08, 2003 at 05:14:03PM +0200, Andriy Dobrovol's'kii wrote: > >>Hi, >>Возникла необходимость настроить в sshd ограничение на >>прослушиваемые хосты. В man указание на параметр AllowHosts > > Кроме hosts.{allow,deny} можно использовать параметр в sshd_config -- > AllowUsers. Допускается формат USER@HOST, вместо того и/или другого можно > ставить * > > Не проверял :-) > Знаю, знаю насчет AllowUsers. Проверено. ;) Просто, хотел ограничить ещё и с этой стороны. Указать хост без привязки к пользователю. В оригинале ведь работает (на BSD). -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 265-7824 Department of Gas Electronics Fax: (380-44) 265-2329 Institute of Physics of NASU ********************************************************************* ^ permalink raw reply [flat|nested] 16+ messages in thread
end of thread, other threads:[~2003-01-15 23:48 UTC | newest] Thread overview: 16+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-01-08 15:14 [Comm] sshd Andriy Dobrovol's'kii 2003-01-08 15:34 ` Dmitry Lebkov 2003-01-08 15:41 ` Dmitry Lebkov 2003-01-08 15:49 ` Andriy Dobrovol's'kii 2003-01-08 17:07 ` Sergey Vlasov 2003-01-08 17:10 ` Dmitry Lebkov 2003-01-09 9:02 ` Andriy Dobrovol's'kii 2003-01-09 9:20 ` Dmitry Lebkov 2003-01-09 11:09 ` Andriy Dobrovol's'kii 2003-01-09 23:01 ` Dmitry Lebkov 2003-01-10 7:47 ` Dmytro O. Redchuk 2003-01-10 12:17 ` Dmitry Lebkov 2003-01-15 16:49 ` Andriy Dobrovol's'kii 2003-01-15 23:48 ` Dmitry Lebkov 2003-01-09 7:36 ` Dmytro O. Redchuk 2003-01-09 8:52 ` Andriy Dobrovol's'kii
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git