Re: ssh (mittels ipfw) von aussen verbieten

On Sat, Dec 29, 2001 at 10:31:19PM +0100, Benedikt Schmidt wrote:
> Gordon E. <bitoxin(at)web.de> wrote:
> > ich verwende fbsd4.4 als gateway,
> > gehe über dsl ins netz und möchte ssh
> > von aussen verbieten, von internen rechnern
> > jedoch erlauben.
>
> Warum sshd an die externe IP-Adresse binden wenn nur aus dem
> dem internen Netz darauf zugegriffen wird?
>
> ,---[/etc/sshd/sshd_config
> | ...
> | ListenAddress 10.0.x.x
> | ...
> `----
>
> Danach mit "sockstat -4l" nochmal nachschauen. Zusaetzlich kann man
> natuerlich immer noch mit ipfilter/ipfw entsprechende Verbindungen
> verbieten.

Je nachdem wie paranoid man ist und man sollte umso paranoider
sein, je länger man online ist, macht es Sinn, beide Möglichkeiten
zu nutzen. Nutzt man nur eine der beiden Möglichkeiten, reicht ein
Loch im entsprechenden Paket und ein Eindringling hat Zugriff.
Je mehr Mechanismen man nutzt, desto aufwendiger (=zeitaufwendiger)
wird es für einen Angreifer und desto wahrscheinlicher wird er
entdeckt.

Demzufolge sollte in /etc/hosts.allow auch noch

| sshd: 10.0.x.x : allow
| sshd : ALL : deny

stehen.

-- 
Marxpitn
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message