Het gonst van de SSH problemen, de open-ssh sources bevatten een gaatje voor een mogelijke exploit. De exploit is er nog niet, maar iedereen is heel druk met patchen, vooral omdat SSH gezien wordt als de veiligste manier van communicatie.

Ook ik heb dus snel de libraries gepatched, en het viel niet mee de juiste te vinden, dit is e-smith versie 5.1.2 . Dit artikel uit het e-smith forum hielp met het vinden van de juiste bestanden, maar daarna ben ik gelijk maar doorgegaan, ik heb de SSH toegang beperkt tot bepaalde ip-adressen. Hiervoor heb ik het template mechanisme gebruikt, en het bestand 45AllowSSH gekopieerd van /etc/e-smith/templates/etc/rc.d/init.d/masq naar /etc/e-smith/templates-custom/etc/rc.d/init.d/masq en het volgende aangepast:

{
     local %services = ( sshd => $sshd );

    my $status = db_get_prop(%services, 'sshd', 'status') || "disabled";

    my $access = db_get_prop(%services, 'sshd', 'access') || "private";

    if ( ($status eq 'enabled' ) and ($access eq 'public') )
    {
        $OUT .= < # original line accepts all addresses
# /sbin/ipchains --append input -p tcp -s 0/0 -d $OUTERNET 22 -j ACCEPT

#
# Allow only access from:
# local network 192.168.0.0/255.255.255.0
# 123.234.123.234 / 123.234.123.235
# 124.15. en 125.16. with subnet 255.255.0.0

    /sbin/ipchains --append input -p tcp -s 192.168.0.0/255.255.255.0 -d $OUTERNET 22 -j ACCEPT
    /sbin/ipchains --append input -p tcp -s 123.234.123.234/255.255.255.255 -d $OUTERNET 22 -j ACCEPT
    /sbin/ipchains --append input -p tcp -s 123.234.123.235/255.255.255.255 -d $OUTERNET 22 -j ACCEPT
    /sbin/ipchains --append input -p tcp -s 124.15.0.0/255.255.0.0 -d $OUTERNET 22 -j ACCEPT
    /sbin/ipchains --append input -p tcp -s 125.16.0.0/255.255.0.0 -d $OUTERNET 22 -j ACCEPT
    /sbin/ipchains --append output ! -y -p tcp -d 0/0 -s $OUTERNET 22 -j ACCEPT
HERE
    }
}

Na al dit ge-edit, de template uitpakken:

/sbin/e-smith/expand-template /etc/rc.d/init.d/masq

restart masquerading:

/etc/rc.d/init.d/masq restart