No.7424 投稿時間:2002年12月28日(Sat) 14:32 投稿者名:mmm URL:
こんにちは。 /etc/hosts.denyには ALL: ALL: spawn = (/usr/sbin/safe_finger -l @%h | /bin/mail -s "%d %h" foo@isp.co.jp)& という風にメール通知を記述しています。 /etc/hosts.allowには ALL: 127.0.0.1 swat: 192.168.0.0/255.255.255.0,127.0.0.1: "/bin/mail -s %d foo@isp.co.jp < 'echo Access from %h'" sshd: ALL: "/bin/mail -s %d foo@isp.co.jp < `echo Access from %h`" imapd: xxx.xxx.xxx.xxx,yyy.yyy.yyy.yyy,zzz.zzz.zzz.zzz,192.168.0.0/255.255.255.0: "bin/mail -s %d foo@isp.co.jp < 'echo Access from %h'" in.proftpd : ALL: "bin/mail -s %d foo@isp.co.jp < 'echo Access from %h'" portmap:192.168.0.0/255.255.255.0 ntop:192.168.0.0/255.255.255.0 in.telnetd: ALL: "bin/mail -s %d foo@isp.co.jp < 'echo Access from %h'" httpd: ALL: "bin/mail -s %d foo@isp.co.jp < 'echo Access from %h'" としメール通知させようとしたのですが 「sshd: ALL: "/bin/mail -s %d foo@isp.co.jp < `echo Access from %h`"」 を記述する前は外部ホストから接続できたのですが記述した途端 ssh_exchange_identification: Connection closed by remote host となって接続できなくなってしまいました。 /var/log/messagesには Dec 28 14:21:34 host1 xinetd[2105]: error: /etc/hosts.allow, line 11: bad option name: ""/bin/mail" Dec 28 14:21:34 host1 xinetd[2105]: libwrap refused connection to ssh from xxx.xxx.xxx.xxx となっていました。11行目は 「sshd: ALL: "/bin/mail -s %d foo@isp.co.jp < `echo Access from %h`"」 なのですがこの記述が不味いのでしょうか?
No.7425 投稿時間:2002年12月28日(Sat) 14:45 投稿者名:mmm URL:
すいません。申し遅れてました。vine2.5を使用しています。
xinetd-2.3.3-1
上で
service ssh
{
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/sshd
log_on_failure += USERID
server_args = -i
}
としてsshアクセスを制御しています。
No.7465 投稿時間:2002年12月29日(Sun) 08:07 投稿者名:鷹の巣 URL:http://sakaguch.com/
> /var/log/messagesには
> Dec 28 14:21:34 host1 xinetd[2105]: error: /etc/hosts.allow, line 11: bad option name: ""/bin/mail"
あまり詳しくないのですが、文法エラーの様ですね。
> となっていました。11行目は
> 「sshd: ALL: "/bin/mail -s %d foo@isp.co.jp < `echo Access from %h`"」
> なのですがこの記述が不味いのでしょうか?
`echo Access from %h`の両端は、「'」(シングルクォーテーション)では、ないでしょうか?
No.7468 投稿時間:2002年12月29日(Sun) 09:21 投稿者名:OAK URL:
> あまり詳しくないのですが、文法エラーの様ですね。
>
同様詳しくわかりませんが、host.denyにはメール機能がありますが、
host.allowでのメール機能は検索してみましたが見つかりませんでした。
No.7471 投稿時間:2002年12月29日(Sun) 10:48 投稿者名:鷹の巣 URL:http://sakaguch.com/
> 同様詳しくわかりませんが、host.denyにはメール機能がありますが、
> host.allowでのメール機能は検索してみましたが見つかりませんでした。
sshdが起動するOpenSSHは、xinetdを経由しないサービスだと考えています。
このOpenSSHは、tcp wrapperの機能がありますので、
日経ネットワークセキュリティ2003特集1の100~101頁より、
/etc/hosts.allowファイルに
sshd:.example.com
・・・
ALL: ALL: spawn = (/usr/sbin/safe_finger -l @%h | /bin/mail -s %s-%h root)&:deny <---最終行に記述。
を記述、/etc/hosts.denyファイルには、特に書かない。
これだけで、example.comのサブドメイン名以外からのアクセス制限が出来て、
尚且つ、アクセス制限以外のアクセスで、root宛にメールが届くことになっている様です。
# portmap:192.168.0.0/255.255.255.0と書かれていますが、
# このportmapというサービスは、停止させると何か不味い事がありますか?