Workshop: Sichere Linux-Workstation

hosts.allow und hosts.deny

Eine bewährte Grundregel für alle Sicherheitsmaßnahmen lautet: "Erst einmal alles verbieten". Daran sollte man sich tunlichst halten, so dass die hosts.deny genau einen Eintrag umfasst:

# /etc/hosts.deny
#
ALL : ALL
#EOF

Per Default darf also kein entfernter Rechner auf irgendeinen lokalen Dienst zugreifen.

Die /etc/hosts.allow lockert anschließend diese restriktive Politik durch die Definition dedizierter Dienst/Client-Pärchen wieder auf:

# /etc/hosts.allow
#
ALL EXCEPT in.telnetd : \\    192.168.80.0/255.255.255.0
in.telnetd : \\    192.168.80.207
#EOF

In unserem Beispiel dürfen alle Rechner im lokalen Class-C-Netz auf sämtliche Dienste mit Ausnahme von Telnet zugreifen. Letzteres bleibt ausschließlich der Maschine mit der IP-Adresse 192.168.80.207 vorbehalten.

Tragen Sie beim Editieren dafür Sorge, dass beide Dateien mit einem Zeilenumbruch enden. Anderenfalls wird die letzte Zeile des Files nicht mehr ausgewertet. Am besten schließen Sie die Datei dazu mit einer Kommentarzeile ab. Da Linux die beiden hosts_access-Dateien bei jedem Verbindungsversuch neu auswertet, werden Änderungen an den Files auch ohne Restart des inetd sofort übernommen.