[Comm] sshd

[Andriy Dobrovol's'kii]

Dmitry Lebkov пишет:
> On Wed, 08 Jan 2003 17:49:18 +0200
> "Andriy Dobrovol's'kii" <dobr на iop.kiev.ua> wrote:
> 
> 
>>Dmitry Lebkov пишет:
>>
>>>On Wed, 08 Jan 2003 17:14:03 +0200
>>>"Andriy Dobrovol's'kii" <dobr на iop.kiev.ua> wrote:
>>>>Как это сделать? И какой формат записи для ListenAddress? Из 
>>>>указанной в man абракадабры не понял. :(
>>>
>>>
>>>Там же все прозрачно:
>>>
>>>ListenAddress host|IPv4_addr|IPv6_addr ==
>>>  ListenAddress hostname.domain.tld или
>>>  ListenAddress 10.0.0.1 или
>>>  ListenAddress [в формате IPv6]
>>>
>>
>>То есть, это замена AllowHosts? Нужно указать именно один адрес, 
>>диапазон нельзя?
> 
> 
> Дык нет же! Это указание ssh-демону, какой ip-адрес использовать для
> входящих соединений. Т.е. если твой сервер имеет два интерфейса:
> внешний (подключение в Интернет) - с реальным ip-адресом, внутренний
> (локальная сеть) - с приватным (например 192.168.1.1) и ты хочешь,
> чтоб по ssh к серверу можно было добраться только c хостов,
> находящихся в локальной сети - в конфиге указываешь:
> 
> ListenAddress 192.168.1.1.
> 
> ListenAdress - адрес на котором сервер _принимает_ запросы на
> соединение. И этот параметр не имеет почти никакого отношения к
> ограничению доступа к серверу по протоколу ssh! :)
> 
Спасибо, дошло. :)
> 
>>>После адреса хоста можно указать порт, на котором слушать. В
>>>качестве разделителя используется ':', т.е. параметр:
>>>
>>>ListenAddress 10.0.0.1:2222
>>>
>>>укажет ssh-демону слушать порт 2222 на адресе 10.0.0.1. Естественно,
>>>данный адрес долже быть поднят на одном из интерфейсов/алиасов. :)
>>>Директиву ListenAddress можно использовать несколькораз для указания
>>>нескольких ip-адресов и/или портов.
>>>
>>>Вот вроде бы так ...
>>>
>>
>>Ммм... Это не очень вяжется с указанием хоста. Или хост можно 
>>указать только его собственный? Тогда это не замена... Почему же 
>>стандартно там прописано 0.0.0.0?
> 
> 
> Про замену никто не говорил. Адрес 0.0.0.0 в конфигурации говорит
> ssh-демону, что необходимо ожидать подключения клиентов на всех
> локальных ip-адресах. "Локальных" - имеются ввиду все ip-адреса
> прописанные на интерфейсах данного хоста.
> 
Угу, разобрались.
> Еще раз ... Для ограничения доступа к серверу по ssh с других хостов
> используй файлы /etc/hosts.deny и /etc/hosts.allow. Смотри man
> hosts_access - в нем описан формат этих файлов.
> 
Про эти файлы я в курсе. Но, их действие глобально. Или я снова 
недопонял? А мне нужно было ограничить доступ _только_ к ssh. Другой 
Дмитрий уже ткнул меня носом в нужную возможность. Это почти решает 
проблему. Всем спасибо.

> Для примера, строка из /etc/hosts.deny:
> 
> sshd:	ALL EXCEPT 192.168.1.0/255.255.255.0
> 
> разрешит подключение к демону sshd только с адресов сети
> 192.168.1.0/255.255.255.0. Всех остальных не пустит.
> 
> 
> Уффф... Уже сам почти запутался ... %)))
> 
> --
> WBR, Dmitry Lebkov

Главное, чтоб спрашивавший понял. ;)
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua             Kyiv, Ukraine
Phone: (380-44)   265-7824             Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************