[操作疑難] Fedora 關於TCP wrappers sshd deny setting

wai9303

我想問下 Fedora TCP wrappers deny setting問題,
我係hosts.deny set左都係block 唔到sshd 既connection.
唔該

hosts.deny:
sshd: 80.211.147.147
sshd: 200.215.222.31 : spawn /bin/echo `/bin/date` access denied >> /var/log/sshd.log
sshd : 45.64.243.35: spawn /bin/echo `date` %c %d >> /var/log/sshd.log : deny


/var/log/message
Nov  9 22:48:18 Fedora28_shadowsock audit[80227]: CRYPTO_KEY_USER pid=80227 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:12:07:9d:c0:65:27:6b:9c:c3:ed:b1:41:f9:46:7f:90:f4:81:d7:46:84:8b:0b:aa:ef:f9:f2:a5:8e:2d:88:5e direction=? spid=80227 suid=0  exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'
Nov  9 22:48:18 Fedora28_shadowsock audit[80227]: CRYPTO_KEY_USER pid=80227 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:58:02:2b:41:59:05:4e:37:f0:cf:b3:82:08:c3:64:0c:46:85:93:07:93:d7:80:38:f5:53:1b:97:a5:3c:ee:d0 direction=? spid=80227 suid=0  exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'
Nov  9 22:48:18 Fedora28_shadowsock audit[80227]: CRYPTO_KEY_USER pid=80227 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:73:08:55:c2:ce:3f:be:3e:29:92:08:89:58:57:0d:19:02:59:63:cf:58:9f:d5:b3:f4:66:82:d8:89:a7:55:07 direction=? spid=80227 suid=0  exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'
Nov  9 22:48:18 Fedora28_shadowsock audit[80226]: CRYPTO_SESSION pid=80226 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=start direction=from-server cipher=aes256-ctr ksize=256 mac=hmac-sha2-256 pfs=diffie-hellman-group-exchange-sha256 spid=80227 suid=74 rport=61883 laddr=192.168.1.111 lport=2200  exe="/usr/sbin/sshd" hostname=? addr=45.64.243.35 terminal=? res=success'
Nov  9 22:48:18 Fedora28_shadowsock audit[80226]: CRYPTO_SESSION pid=80226 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=start direction=from-client cipher=aes256-ctr ksize=256 mac=hmac-sha2-256 pfs=diffie-hellman-group-exchange-sha256 spid=80227 suid=74 rport=61883 laddr=192.168.1.111 lport=2200  exe="/usr/sbin/sshd" hostname=? addr=45.64.243.35 terminal=? res=success'
Nov  9 22:48:18 Fedora28_shadowsock audit[80226]: USER_AUTH pid=80226 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=45.64.243.35 addr=45.64.243.35 terminal=ssh res=failed'

chue

http://aircsh.pixnet.net/blog/po ... 6%E6%9C%8D%E5%8B%99

最後一段有提 SSHD 處理方法似乎有唔同,有疑問就留個言請教人吧,我冇用過所以唔能答你

D指令好複雜,可能打錯都唔定

https://www.ibm.com/developerwor ... pwrapper/index.html

chue

在以下示例中，所有来自 IP 地址为 192.168.9.24 的 ssh 和 telnet 连接都会被允许访问。一旦客户端连接上，就会执行 logger 命令。请注意在冒号（“:”） 用反斜杠转义的规则条目中保留下一个字符的值。一定要这么做，因为我们不想让 wrappers 认为这是一个分隔符，是访问规则的一部分。实际上，它是 logger 发送的消息的一部分：

1
2
telnetd,sshd:192.168.9.24 : spawn (/usr/bin/logger 'DEV BOX!!Warning!!\:
%a has connected') :allow
还要注意在之前的条目中，使用了特殊的 shell 扩展变量 %a，它们的前缀是 “%&a”。这些可以用来包含客户端信息，如果在您的消息中可以的话。常见的shell变量有：

%a - 客户端 IP 地址
%h - 客户端主机名
%c - 客户端用户名
连接成功后，logger 会通过 syslog 发送消息给 /var/adm/messages：

1
2
Oct 24 15:47:22 rs6000 user:notice root:DEV BOX!!Warning!!:192.168.9.24 has connected
Oct 24 15:47:22 rs6000 auth|security telnetd[245806]: connect from uk01dev002
还可以更改之前的规则，拒绝此 IP 地址并用 logger 通过 syslog 发送消息，例如：

1
2
telnetd,sshd:192.168.9.24 : spawn (/usr/bin/logger '* DEV BOX *!!Warning!!\:
%a has tried to connected') :deny
当访问被拒绝后，logger 会通过 syslog 发送消息给 /var/adm/messages：

1
2
3
4
Oct 24 20:02:39 rs6000 user:notice root:* DEV BOX *!!Warning!!:192.168.9.24
Tried to connect
Oct 24 20:02:39 rs6000 auth|security|warning telnetd[237744]: refused connect from
uk01dev002
您还可以使用 spawn 通过电子邮件发送给用户。在以下示例中，IP 地址为 192.168.9.24 的客户端连接允许后，会发送电子邮件给用户 secport，允许使用 telnet 或 ssh 访问该客户端：

1
2
telnetd,sshd:192.168.9.24 : spawn (/usr/bin/echo 'DEV BOX!Warning %a has connected'
|/usr/bin/mail secport) :allow