SSH mit Xinetd

[NBA1983]

Hallo Zusammen,
ich habe mal eine Frage, bei der ihr mir hoffentlich helfen könnt.
Ich habe vor, das auth.log auszuwerten und "böse" IP Adressen dann für SSH zu sperren.
Da das ganze auf einem vServer läuft, kann ich iptables nicht benutzen (hab ich zumindest bisher so gelesen).
Also möchte ich das ganze über die hosts.deny liste machen.
So weit so gut - SSH hab ich als service für den xinetd eingerichtet. Laut den Logfiles wird ssh auch richtig gestartet.

Code: Alles auswählen

/etc/xinetd.d/ssh:
service ssh
{
port = 22
socket_type = stream
protocol = tcp
user = root
server = /usr/sbin/sshd
wait = no
instances = 5
}

/var/log/syslog:
...
Apr 29 06:22:31 vds02 xinetd[1164]: Reading included configuration file: /etc/xinetd.d/ssh [file=/etc/xinetd.d/ssh] [line=26]
Apr 29 06:22:31 vds02 xinetd[1164]: Reading included configuration file: /etc/xinetd.d/telnet [file=/etc/xinetd.d/telnet] [line=10]
...
Apr 29 06:22:31 vds02 xinetd[1164]: readjusting service ssh
Apr 29 06:22:31 vds02 xinetd[1164]: readjusting service telnet
Apr 29 06:22:31 vds02 xinetd[1164]: Reconfigured: new=0 old=2 dropped=0 (services)

hosts.allow: 
ssh: ALL

Das Problem ist jetzt, dass ich keine Verbindug per ssh aufbauen kann. Egal was ich ich in die hosts.allow und hosts.deny schreibe.

Code: Alles auswählen

$ssh 0
ssh_exchange_identification: Connection closed by remote host 

Da ich ja mit dem SSHd rumspiele hab ich telnet auch konfiguriert - das funktioniert auch so wie ich das eigendlich haben mag.
Könnt ihr mir sagen, warum SSH keine Verbindungen annimmt?

Vielen Dank im Vorraus,
Daniel

[nepos]

Also, meiner Meinung müsste in hosts.allow sshd: ALL stehen. Denn der ssh-Dienst läuft ja als sshd und nicht als ssh.

[NBA1983]

Danke für deine Antwort!
das hab ich auch schon versucht, funktioniert auch nicht.
Soweit ich rausgefunden habe, sollte da das selbe stehen wie in der der "/etc/xinetd.d/ssh":

Code: Alles auswählen

service ssh
{
...

Gruß,
Daniel

[cosmac]

hi,

bei mir hat's mal mit einer zusätzlichen sshd-Option funktioniert:

Code: Alles auswählen

server_args     = -i

damit der sshd weiß, dass er vom xinetd gstartet wurde.

[NBA1983]

Den key hab ich auch schonmal gefunden, allerdings konnte ich nicht rausfinden, was er genau macht, desswegen habe ich ihn rausgelassen.
Jetzt mal mit server_args = -i

und es funktioniert! *juhu*
Kann mir noch jemand sagem, was ich da jetzt eingestellt habe?

Sobald ich mein Script fertig habe, werde ich das hier reinstellen - falls jemad das selbe problem hat.

Danke,
Daniel

[cosmac]

Kann mir noch jemand sagem, was ich da jetzt eingestellt habe?

normalerweise wird der sshd als Daemon gestartet, öffnet den Port,
wartet auf Verbindungen und stellt bei Bedarf eine Verbindung
mit einem ssh-Client her. Das alles übernimmt bei dir der xinetd,
also muss/darf der sshd das nicht mehr machen. Stattdessen
bekommt er vom xinetd eine fertige, geprüfte Verbindung.

Sobald ich mein Script fertig habe, werde ich das hier reinstellen - falls jemad das selbe problem hat.

Guter Plan, Danke!

[nepos]

Der Schalter ist eigentlich in man sshd dokumentiert. Leider ist aus der Doku nicht so ganz ersichtlich, was der sshd anders macht, wenn der Key gesetzt ist.

[NBA1983]

Ich weiß, dass es ein bischen spät ist - aber immerhin.
Ich hatte mir ein eigenes Script geschrieben, das die IPS automatisch sperrt und entsperrt. Allerdings hat es nicht immer 100% funktioniert, wesswegen ich es auch nicht hier einstellen werde.
Aber es gibt dafür eine schöne Alternative: denyhosts (http://denyhosts.sourceforge.net/)
einfach installieren und alle "bösen" IPs werden geblockt. Man kann sogar eine Blacklist aus dem Internet laden.
Vielleicht hilft da ja mal noch jemandem.

Gruß,
Daniel