Server beveiligen met hosts.deny en hosts.allow
Let op: als je de server op afstand beheert en je maakt een fout bij het instellen van je hosts.deny loop je het risico dat je niet meer in kunt loggen. Voorzichtig dus.
Met de bestanden hosts.allow en hosts.deny bepaal je wie en wat er wél en géén verbinding met je server mag maken. Het is een extra beveiliging, naast het instellen van je firewall.
Het systeem kijkt eerst in hosts.allow of toegang toegestaan is. Als dat zo is wordt toegang direct toegestaan. Zo niet dan bepaalt hosts.deny of je al dan geen toegang krijgt.
host.deny en host.allow worden alleen gebruikt door diensten die tcp-wrapper gebruiken, ssh doet dat wel, Apache bijvoorbeeld niet.
ssh beveiligen
Nadat je de waarschuwing aan het begin van dit hoofdstuk nog drie keer gelezen hebt bewerk je eerst het bestand hosts.allow:
nano /etc/hosts.allow
Je geeft in dit bestand je eigen ip-adres(sen) toegang tot ssh met de volgende regels:
sshd: 10.11.12.13 sshd: 10.11.12.14
Om de beveilging compleet te maken sluit je nu de toegang tot sshd af met hosts.deny:
nano /etc/hosts.deny
Voeg daaraan de volgende regel toe:
sshd: ALL
Met bovenstaande regels heb je ook vanaf de computer zelf geen toegang meer tot ssh. Heb je reden om naar jezelf te verbinden voeg dan nog toe aan hosts.allow:
sshd: localhost
Toegevoegde waarde?
Je kunt terecht vragen wat de toegevoegde waarde is van het gebruik van hosts.allow en hosts.deny in combinatie met een firewall. Maar waarom zou je het niet gebruiken? Eén slot op de voordeur is misschien genoeg maar de meeste mensen hebben er twee.