Re: [CBLX] sécu et hosts.deny

[ Thread Index | Date Index | More lists.tuxfamily.org/carrefourblinux Archives ]

To: carrefourblinux@xxxxxxxxxxxxxxxxxxx
Subject: Re: [CBLX] sécu et hosts.deny
From: Pierre Lorenzon <devel@xxxxxxxxxxxxxxxxxxxx>
Date: Wed, 17 Mar 2010 09:52:41 +0100 (CET)

From: Tarik FDIL <tfdil@xxxxxxxx>
Subject: Re: [CBLX] sécu et hosts.deny
Date: Mon, 15 Mar 2010 11:20:03 +0000

> Salut Aldo,
> 
> Je n'utilise pas /etc/hosts.deny, mais selon sa documentation, il suffit

  Moi non plus. Est-ce qu'il y a vraiment un risque du côté du
  serveur ssh ? Qu'est-ce que le host.deny va faire de
  plus. Empêcher que le processus d'authentification
  démarre. De toute façon avec un mot de passe à 10 ou 12
  caractères les hackers peuvent bien faire ce qu'il veulent
  ... Donc avec un host.deny, on les empêche juste de tenter
  leur chance donc on limite un peu le traffic peut-être ce qui
  donne un peu plus de bande passante pour le reste. Mais
  vraiement plus ? À moins que ce ne soit pour d'autres
  serveurs style http mais semble-t-il ça ne concerne que le
  serveur ssh non ? 

  Qu'il y ait du hack sur les serveurs postfix, sendmail, ftp,
  et peut-être même sur des serveurs apache d'ancienne
  génération, j'ai entendu parlé de ça mais sur les serveur
  ssh. Il me semble que quand ça arrive, (rarement !) les mises
  à jour qui permettent de sécuriser le serveur sont rapidement
  disponibles.

  Pierre

> d'y rajouter la ligne suivante :
> 
> ALL: .cn, .ru
> 
> Et laisser le fichier /etc/hosts.allow *vide*.
> Pour plus de dÃ©tails, voir cas "MOSTLY OPEN" de "EXAMPLES" dans "man
> hosts_access"
> 
> Par ailleurs, je suppose que la commande suivante :
> 
> ldd /usr/sbin/sshd | grep libwrap
> 
> donne le rÃ©sultat suivant :
> 	libwrap.so.0 => /lib/libwrap.so.0 (0x00110000)
> 
> qui signifie que ton serveur ssh est bien compilÃ© pour supporter l'usage de /etc/hosts.allow et /etc/hosts.deny, sinon tout ce que tu mettras dans /etc/hosts.deny sera superbement ignorÃ©.
> 
> Cordialement
> Tarik
> 
> 
> Le lundi 15 mars 2010 Ã  09:44 +0100, Aldo a Ã©crit :
>> Hello,
>> 
>> qq'un ici a-t-il un petit exemple de ligne de conf qui me permette par ex.
>> de bloquer en ssh des domaines, par ex. .cn .ru ... pour Ã©liminer une
>> portion non nÃ©gligeable de possibles intrus/hackeurs, sans devoir s'amuser Ã 
>> bloquer des rangÃ©es d'IP ?
>> Si qq'un a un /etc/hosts.deny qu'il a dÃ©jÃ  configurÃ© en ce sens, Ã§a
>> m'intÃ©resse de le rÃ©cupÃ©rer, off-liste s'il/elle prÃ©fÃ¨re.
>> 
>> Aldo.
>> 
>> 
>> ---
> 
> 
> 
> ---
> -- 
>    CarrefourBLinuX MailingListe 
>    Pour obtenir de l'aide, envoyez le sujet  help  à: 
>    carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
>    Archives: 
>    http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux
> 

---
--
   CarrefourBLinuX MailingListe
   Pour obtenir de l'aide, envoyez le sujet  help  à:
   carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
   Archives:
   http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux

References:
- [CBLX] sécu et hosts.deny
  - From: Aldo
- Re: [CBLX] sécu et hosts.deny
  - From: Tarik FDIL

Messages sorted by: [ date | thread ]
Prev by Date: Re: temps.sh Was:Re: [CBLX] cherche application
Next by Date: Re: [CBLX] cherche application
Previous by thread: Re: [CBLX] sécu et hosts.deny
Next by thread: [CBLX] Question de bips et de beep

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/