ssh_exchange_identification: Connection closed by remote hos

[Peter_Pan123]

Hallo,

ich habe das Problem wie oben im "Titel" angezeigt. Ich habe ein wenig gegoogled und bin auf folgendes gestoßen:

-
If you are using tcp_wrappers, you need to add the following line to the file "hosts.allow":

sshd: ALL

The "hosts.allow" file may be in /etc or /usr/local/etc.

Alternatively you could rebuild sshd without the parameter for tcp_wrappers, as follows:
"--with-tcp-wrappers".
-

Meine Frage dazu ist: "Stellt das Eintragen von -sshd: ALL- in der -host.allow- ein Sicherheitsrisiko dar ?".

Mir wurdemal gesagt das es egal ist. Wenn man nix drin zu stehen hat ist es wie -sshd: ALL-.

Gruß Peter

[goecke]

Hallo,

ich habe das Problem wie oben im "Titel" angezeigt. Ich habe ein wenig gegoogled und bin auf folgendes gestoßen:

-
If you are using tcp_wrappers, you need to add the following line to the file "hosts.allow":

sshd: ALL

The "hosts.allow" file may be in /etc or /usr/local/etc.

Alternatively you could rebuild sshd without the parameter for tcp_wrappers, as follows:
"--with-tcp-wrappers".
-

Meine Frage dazu ist: "Stellt das Eintragen von -sshd: ALL- in der -host.allow- ein Sicherheitsrisiko dar ?".

Nein!

Du kannst mit hosts.allow verbindungen auf bestimmte ip-bereiche begrenzen, steuern.

Wenn deine Firma 2 Standorte mit festen IP-Bereichen hat, kannst du einstellen daß nur von Standort B ein ssh auf
Standort A gemacht werden darf.

Aber: das ist (bei entsprechender Krimineller Energie / aufwand) ( => Schäuble?)
keine Sicherheitsmassname - es werden höchstens skript kiddies ausgebremst.

Wenn SSH nach "aussen" offen ist muss er sowieso sicher konfiguriert sein:
=> nur publik-key authentifizierung
=> AllowGroups / allowUsers (nur minimale Anzahl an Benutzern dürfen überhautp rein)
=> kein Root login erlauben
=> immer Software aktuell halten

Mir wurdemal gesagt das es egal ist. Wenn man nix drin zu stehen hat ist es wie -sshd: ALL-.

man 5 host_access
man 5 hosts_options

HTH Johannes

[Peter_Pan123]

oki danke, dann werde ich es mal testen. Ich hoffe das der Fehler dann weg ist.