Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

hosts.deny und https

0 views
Skip to first unread message

Peter Velan

unread,
Jan 18, 2005, 5:34:26 AM1/18/05
to
Hi,

da ich kein Interesse an SSH-Kontaktaufnahme aus bestimmten IP-Zonen
habe, nutze ich die File "hosts.deny". Mit Einträgen á la

sshd : xxx.xxx.xxx.xxx/nn

klappt das wunderbar. Jetzt möchte ich das auch auf HTTPS und FTP
ausdehnen. "man host_access" sagt dazu: "Network daemon process names
are specified in the inetd configuration file".

So komme ich aber nicht weiter, denn der Apache2 ist dort ja nicht
aufgelistet, ebensowenig wie andere Daemons, die z.B. dynamisch
gestartet werden. Darum meine Frage:

Wie muss eine Zeile in der hosts.deny aussehen, wenn SSH-, HTTP-, HTTPS-
und FTP-Connects aus bestimmten IP-Zonen abgelehnt werden sollen?

(Debian/Sarge)

Dank für Tips,
Peter

Max Lindner

unread,
Jan 18, 2005, 5:38:19 AM1/18/05
to
On Tue, 18 Jan 2005, Peter Velan wrote:

> So komme ich aber nicht weiter, denn der Apache2 ist dort ja nicht
> aufgelistet, ebensowenig wie andere Daemons, die z.B. dynamisch
> gestartet werden. Darum meine Frage:

> Wie muss eine Zeile in der hosts.deny aussehen, wenn SSH-, HTTP-, HTTPS-
> und FTP-Connects aus bestimmten IP-Zonen abgelehnt werden sollen?

wird dein sshd per inetd gestartet? Ich bezweifle das. Versuchs doch einfach
mal mit nem Testeintrag für das Netz, in dem du dich befindest, mit dem
namen, den du bei top angezeigt bekommst... also apache apache-ssl bzw
proftpd oder so.

Ciao,
Max

Peter Velan

unread,
Jan 18, 2005, 6:09:34 AM1/18/05
to
am 18.01.05 11:38 schrieb Max Lindner:

> On Tue, 18 Jan 2005, Peter Velan wrote:
>
>> So komme ich aber nicht weiter, denn der Apache2 ist dort ja nicht
>> aufgelistet, ebensowenig wie andere Daemons, die z.B. dynamisch
>> gestartet werden. Darum meine Frage:
>
>> Wie muss eine Zeile in der hosts.deny aussehen, wenn SSH-, HTTP-, HTTPS-
>> und FTP-Connects aus bestimmten IP-Zonen abgelehnt werden sollen?
>
> wird dein sshd per inetd gestartet? Ich bezweifle das.

Deine Zweifel sind berechtigt, sshd läuft tatsächlich immer.

> Versuchs doch einfach
> mal mit nem Testeintrag für das Netz, in dem du dich befindest,

Ich habe noch einen Monat lang den Luxus über zwei fixe IPs zu verfügen
und kann so "richtig von außen" testen :-)

> mit dem
> namen, den du bei top angezeigt bekommst... also apache apache-ssl bzw
> proftpd oder so.

Jou, die FTP-Verbindung - wirklich proftpd; woher wußtest du das ;-) -
wird sauber abgelehnt, und proftpd wird dynamisch gestartet!

Tja die Frage ist: was ist der wahre Namen des Indianers in der normalen
(http) und verschlüsselten (https) Variante? Habe getestet:

apache
apache2
apache2-ssl

(vermutlich Blödsinn, aber auch das hav ich probiert: http, https in
Groß- und Kleinschreibung), aber leider wird dennoch verbunden.

Was Anderes, das nach https/https riecht gibt weder "ps" noch "top" von
sich; noch n' Tip?

Peter

0 new messages