SSH toegang beperken

[peter2se]

Hallo,

ik probeer mijn ssh toegang te beperken via /etc/hosts.allow en /etc/hosts.deny

Echter de Synology DS107+ reageert niet op de wijzigingen welke ik aanbreng.
== /etc/hosts.allow ==
#
# hosts.allow   This file describes the names of the hosts which are
#               allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
sshd: xs2.xs4all.nl
sshd: xs3.xs4all.nl
========

== /etc/hosts.deny ==
#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
sshd: ALL
=========

Mis ik het een en ander qua instellingen? Uiteraard heb ik de DS opnieuw gestart echter alles zonder resultaat. SSH toegang vanaf overal  

Alvast bedankt voor jullie hulp.

Peter.

[eovermeer]

Probeer het eens met IP adressen zoals ik dat heb geconfigureerd voor mijn Linux server. Alleen toegang vanaf mijn werk, VPN en lokaal. Ik heb alleen sshd vervangen voor ALL: omdat het alle services betreft. Let op het laatste IP adres deze moet eindigen op een punt om alle LAN client toegang te geven.

#
# hosts.allow   This file describes the names of the hosts which are
#      allowed to use the local INET services, as decided
#      by the '/usr/sbin/tcpd' server.
#
ALL: 127.0.0.1 213.51.172.186 192.168.254.1 10.1.5.211 192.168.0.

[peter2se]

Bedankt voor je reactie, maar helaas heeft het gebruik van IP-nummers geen effect.
Ik probeer juist van een IP-adres welke niet van xs4all.nl komt een verbinding te maken en ik kom er iedere keer weer door heen.

Groeten,
Peter.

[mdamen]

Ik heb het zelf ook even zitten testen in de veronderstelling dat dit gewoon moet kunnen.
Waar ik achter ben gekomen is dat de openssh versie op de Synology's niet gecompileert is met TCP wrapper support, zie voor meer info hierover:
http://www.ssh.com/support/documentatio ... pport.html

Hierover krijg je in /var/log/messages ook foutmeldingen.
De enige oplossing hiervoor zou zijn om openssh te compileren met TCP wrapper support en de standaard Synology SSHD uit te schakelen.
Maar, dit is zeer risicovol.. stel dat door een firmware update de eigen SSH daemon niet meer werkt, dan wordt de Synology dus totaal onbenaderbaar.

Wat nog over blijft is te gaan werken met iptables, standaard is er geen support voor iptables aanwezig in de Synology's. Ik wil dit nog wel even bekijken of dit makkelijk aan de praat is te krijgen.

[peter2se]

Bedankt voor het mee denken.

Op dit moment heb ik telnet uitgeschakeld staan. Indien er iets mis zou zijn met sshd dan kun je met telnet binnen kunnen komen. De beste oplossing is het niet. Maar de aanvallen van het internet ook niet.

Hoe zou Synology er zelf tegen over staan om TCP-wrapper in sshd mee te compileren? Heeft het zin om het aan te vragen?

Peter.