在删除最初安装的 openssh 包(当前为 6.6.1p1)后,我在 CentOS 7.3 系统上构建了 openssh 7.5p1。
一切似乎都很好,直到我发现 openssh 在 6.7 版本中删除了对 tcp_wrappers/libwrap 的支持。
我猜这意味着我通过 /etc/hosts.allow 和 /hosts/deny 的旧的/受信任的 ACL 现在毫无用处了?(目前我没有办法测试,除非使用欺骗工具)。
如果这是真的,那么到目前为止,还有什么方法可以替代这种如此方便和简单的控制公共 ssh 服务器访问的方法呢?
答案1
在删除最初安装的 openssh 包(当前为 6.6.1p1)后,我在 CentOS 7.3 系统上构建了 openssh 7.5p1。
目前 OpenSSH 在 RHEL 7.4 中是 7.4。如果 CentOS 中还没有,请再等几天。
一切似乎都很好,直到我发现 openssh 在 6.7 版本中删除了对 tcp_wrappers/libwrap 的支持。
如果您愿意,您可以构建支持 tcp_wrappers 的 OpenSSH。有一个补丁添加了对此的支持:
http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-July/036131.html
我猜这意味着我通过 /etc/hosts.allow 和 /hosts/deny 的旧的/受信任的 ACL 现在毫无用处了?(目前我没有办法测试,除非使用欺骗工具)。
或者您可以使用实例化的 sshd 服务tcpd来启动sshd并执行过滤,如以下邮件所述:
https://lists.fedoraproject.org/archives/list/[电子邮件保护]/消息/UOAUI4TC6PQVHRJ2ONQ2N3IKHR4577VH/
如果这是真的,那么到目前为止,还有什么方法可以替代这种如此方便和简单的控制公共 ssh 服务器访问的方法呢?
是的,确实如此,但为了合理过滤,你应该使用防火墙。20tcp_wrappers年前就有了,当时 Linux(和 Unix)上几乎没有防火墙。