Sida 1 av 1
host allow /host deny
Postat: 24 jan 2008, 10:13
av mattiash
Hej !
Dags för mig att knyta ihop säcken lite på mitt nätverk.
Vill bara att mina servrar ska prata med varandra och inga utomstånde ska få komma in.
Hur säkert är host deny host allow stänger det helt ut alla portar och avisar alla anslutnings försök ?
Har i alla fall två typer av sätt jag vill blocka.
1. mina vmhoster ska vara ta imot anslutning från min admin dator.
kan man bara skriva i host allow ip till den datorn och sedan i host deny bara skriva att den ska deny alla ?
2. Denna är mycket svårare har en dns där alla mina datorer i nätverket ligger.
Kan man sätta så att den bara ska ta imot kontakt från dom hosterna som finns i dns ??
Eller måste man lägga in alla hoster i hosts filen ??
// matte
SV: host allow /host deny
Postat: 24 jan 2008, 10:36
av andol
När du pratar om host deny host allow så gissar jag på att du syftar på tcp-wrapperns /etc/hosts.deny och /etc/hosts.allow?
Dessa kan du inte bara rakt av använda för att styra generell åtkomst. Det kräver nämligen att den aktuella servertjänsten faktiskt använder sig av wrappern. SSH-servern gör det som default, men inte så många andra.
Vill du begränsa tillgång utifrån ip-nummer så är det brandväggsregler du vill använda dig utav. Att styra access baserat på ip-nummer är dock ytterst sällan Rätt väg. Antingen rör det sig om datorer som står på olika (lokala) nätverk och då kan du verkligen inte lita på att ip-nummret tillhör den dator du tror det tillhör. Alternativt så står datorerna inom samma lokala nätverk och då finns det en Bättre lösning.
Den generella lösningen vad gäller lokala nätverk är istället att sätta upp en brandvägg mellan sitt lokala nätverk och resten av stora stygga Internet. Denna funktionalitet får du förövrigt mer eller mindre på köpet om du kör en vanliga hemmarouter. Sen har du lite av en skyddad zon inne på ditt lokala nätverk, där om inte annat angivet, så kan de bara ta emot anslutningar från varandra.
Utöver det kan man förstås även inom sitt lokala nätverk sätta upp access baserat på ip-nummer. Detta är dock främst för tjänster såsom NFS, vilka inte har något simpelt stöd för andra former av autentisering. Allt annat som kräver inloggning bör dock kontrolleras med säkrare metoder, såsom lösenord och/eller (krypto)nyckelfiler.
Nej, jag vet att det här inte riktigt vart svaret på din ursprungliga fråga. Ber om ursäkt för det. Min förhoppning är dock att du får mer nytta av en sån här förklaring.
SV: host allow /host deny [LÖST]
Postat: 26 jan 2008, 02:07
av mattiash
Tjena !!
Tack för svaret då anser jag att mitt system är säkert nog.
Ville och trodde att man med dessa filer kunda regler åtkomsten för hela server.
Så jag bara kunde skriva in en ip eller host i filen och så kunde då bara dom två prata med varandra.
Har ju redan en fin brandvägg mot nätet och kör hosts i NFS monteringen.
Ldap körs med tls, mail med ssl och tls och sedan har jag inte så mycket mer.
// matte
SV: host allow /host deny
Postat: 27 jan 2008, 22:19
av maths57
Tcpwrappers är bara ytterligare ett sätt på vilket du kan säkra ditt system. Du kan gott använda dig av det, även om du har en fungerande brandvägg.
Skulle vara kul att veta hur man tar reda på vilka program som stöds. Har nog läst om det någonstans, men minns inte när och var.