Hallo, > > Gibt es unter woody die Moeglichkeit, dafuer zu sorgen, dass der > > OpenSSH-Server keine Verbindungen von Hosts annimmt, fuer die kein > > DNS-Eintrag gefunden werden kann? Bis vor ein paar Minuten habe ich > > angenommen, dass der Eintrag "ALL: PARANOID" in /etc/hosts.deny das > > erledigt, aber dann habe ich den Logdateien eines Rechners gesehen, > > dass sich jemand von einem Host ohne DNS-Namen eingeloggt hat. > > Probier mal diese Option in der sshd_config: > VerifyReverseMapping > Specifies whether sshd should try to verify the remote > host name and check that the resolved host name for the > remote IP address maps back to the very same IP > address. The default is ``no''.
Die Option habe ich schon aktiviert, schon bevor ich den Eintrag in /etc/hosts.deny gemacht habe. Sie bewirkt aber nur, dass das Reverse mapping ueberprueft wird; wenn es nicht passt, wird das nur im Logfile vermerkt, der Login aber trotzdem zugelassen,. Ich kann auch mit Sicherheit sagen, dass der ssh-Daemon /etc/hosts.deny auswertet. Ich habe naemlich festgestellt, dass nach dem Hinzufuegen des Eintrags in /etc/hosts.deny Logins von einer bestimmten Adresse nicht mehr zugelassen wurden, die vorher durch "VerifyReverseMapping yes" zwar bemaengelt, aber trotzdem nicht blockiert wurde. Allerdings war bei dieser Adresse sowohl ein Forward- als auch ein Reverse-Mapping Eintrag vorhanden, die passten nur nicht zusammen. Im jetzigen Fall allerdings hat sich jemand von einer Adresse eingeloggt, fuer die gar kein DNS-Eintrag existiert, und da hat /etc/hosts.deny nicht gewirkt. Vielleicht ist das auch eher ein Problem des TCP-Wrappers? Gruss Christoph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
