J'ai construit openssh 7.5p1 sur un système CentOS 7.3, après avoir supprimé le package openssh installé à l'origine, qui est (actuellement) 6.6.1p1.
La version actuelle d'OpenSSH est 7.4 dans RHEL 7.4. Si ce n'est pas encore dans CentOS, il suffit d'attendre encore quelques jours.
Tout semblait bien jusqu'à ce que je découvre qu'openssh a supprimé le support de tcp_wrappers/libwrap à la version 6.7.
Vous pouvez construire OpenSSH avec le support pour tcp_wrappers si vous le souhaitez. Il y a un correctif qui ajoute un support pour cela:
http://lists.mindrot.org/pipermail/openssh-unix-dev/2017-July/036131.html
Je suppose que cela signifierait que mon ancienne ACL / fiable via /etc/hosts.allow et /hosts/deny est maintenant inutile? (Je n'ai aucun moyen de tester pour le moment, sauf en utilisant un outil de spoofing).
Ou vous pouvez utiliser tcpd pour démarrer votre sshd et faire le filtrage avec le service sshd instancié tel que décrit dans le mail suivant:
https://lists.fedoraproject.org/archives/list/devel@lists.fedoraproject.org/message/UOAUI4TC6PQVHRJ2ONQ2N3IKHR4577VH/
Si c'est vrai, quel serait un remplacement pour cette méthode si pratique et facile jusqu'à présent pour contrôler l'accès à un serveur ssh public?
Oui, c'est vrai, mais pour un filtrage raisonnable, vous devriez utiliser un pare-feu. Les tcp_wrappers étaient une chose il y a 20 ans, quand il n'y avait pas vraiment de pare-feu sous linux (et unix).
