Ver Mensaje Individual
  #2 (permalink)  
Antiguo 10/06/2011, 02:50
moeb
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 8 meses
Puntos: 81
Respuesta: Server unexpectedly closed network connection

Puedes usar los ficheros hosts.allow y hosts.deny para todos los accesos a servicios via tcp wrappers (incluido sshd).

La linea que comentas fuerza a que el DNS inverso este bien configurado, de forma que la maquina que intenta acceder se corresponda con su entrada DNS (es decir, u nreverse-lookup me arooje el nombre de la maquina que se esta conectando y se corresponda con un dns-lookup normal).

Generalmente no suele ser necesario configurar los archivos hosts.allow y hosts.deny, salvo que quieras que tan solo una (o varias) maquina concreta acceda via ssh... Aunque personalmente prefiero usar llaves de maquina (pubkey authentication) para securizar ese tipo de accesos.

Si quieres que solo se pueda acceder por SSH (o sftp usando sshd) desde una maquina concreta, podráis configurar tus ficheros hosts.deny y hosts.allow de la siguiente manera:

hosts.deny:
...
sshd: ALL

hosts.allow:
sshd: XXX.XXX.XXX.XXX

(siendo XXX.XXX.XXX.XXX la IP de la maquina a la que quieres permitir el acceso). El archivo hosts.allow se chequea antes que el deny en la cadena, por lo que debes tener cuidado con esto (no permitas algo en el allow que quieres denegar en el deny).

Lo que dicen las lineas de ariba es:
(En el hosts.allow): Permite acceso al sshd desde la IP XXX.XXX.XXX.XXX
(En el hosts.deny) deniega el acceso al sshd a todo el mundo.
(Podrías haber utilizado el modificador "EXECPT LOCAL" en el deny para permitir que el servidor pueda hacer ssh a si mismo por razones de test, por ejemplo... Esto suele hacerse con otros servicios, aunque con el sshd no parece muy util :)).

Otra cosa que debes tener en cuenta es que si en la parte del servicio pones "ALL" (es decir, la parte ANTES del caracter ":" en lugar de un servicio (en nuestro caso sshd), eso afectará a TODOS los servicios... Tenlo en cuenta, no vayas a permitir de mas, por ejemplo.

En realidad, es sencillo... Aunque, como te dije, yo no suelo usar los ficheros allow y deny para controlar el acceso ssh. No me parece seguro, la verdad (cualquier capaz de cambiar su IP se saltará la restricción).

Tú mismo ;)