You need to restart vsftpd?  This is why iptables is better
=)  I can only imagine a really busy ftpd getting restarted,
booting users, because hosts.deny was updated.. then again really busy
ftp sites are probably not using tcpwrappers for security ;)<br>
<br>
-miah<br><br><div><span class="gmail_quote">On 3/29/06, <b class="gmail_sendername">Bill Watson</b> <<a href="mailto:bill@magicdigits.com">bill@magicdigits.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
To all who helped me, thank you!!! This denyhosts offering is interesting,<br>but I have already restricted my ssh to about 4 IP addresses. The tool<br>doesn't focus elsewhere.<br><br>The magic appears to be the unsuspected need to restart vsftpd to get the
<br>new hosts.deny values.<br><br>Bill Watson<br><a href="mailto:bill@magicdigits.com">bill@magicdigits.com</a><br><br>-----Original Message-----<br>From: <a href="mailto:rhn-users-bounces@redhat.com">rhn-users-bounces@redhat.com
</a> [mailto:<a href="mailto:rhn-users-bounces@redhat.com">rhn-users-bounces@redhat.com</a>] On<br>Behalf Of simon elliston ball<br>Sent: Wednesday, March 29, 2006 12:54 AM<br>To: Red Hat Network Users List<br>Subject: Re: [rhn-users] I need help with 
hosts.deny - doesn't work as<br>Iexpected<br><br><br>On the subject of deny.hosts and persistent automated hacking, we've found<br><a href="http://denyhosts.sourceforge.net/">http://denyhosts.sourceforge.net/</a> very useful. It automates entries in
<br>hosts.deny by parsing logs to detect dictionary attacks on ssh etc.<br><br>simon<br><br><br>On Tue, 2006-03-28 at 10:52 -0800, Bill Watson wrote:<br>> I have /etc/hosts.allow that has no entries. I have /etc/hosts.deny
<br>> that<br>> has:<br>><br>> ALL: <a href="http://219.106.229.178">219.106.229.178</a><br>> ALL: <a href="http://72.129.200.46">72.129.200.46</a><br>> ALL: 200.38.<br>> ALL: 64.182.<br>><br>> >From my readings, I should not be getting any messages from
<br>> >200.38.x.x, yet<br>> my /var/log/messages shows:<br>> Mar 28 10:50:36 helmethouse vsftpd(pam_unix)[23790]: check pass; user<br>> unknown Mar 28 10:50:36 helmethouse vsftpd(pam_unix)[23790]:<br>> authentication failure; log
<br>> name= uid=0 euid=0 tty= ruser= rhost=<a href="http://200.38.16.6">200.38.16.6</a><br>> Mar 28 10:50:40 helmethouse vsftpd(pam_unix)[23790]: check pass; user<br>> unknown<br>> Mar 28 10:50:40 helmethouse vsftpd(pam_unix)[23790]: authentication
<br>failure;<br>> log<br>> name= uid=0 euid=0 tty= ruser= rhost=<a href="http://200.38.16.6">200.38.16.6</a><br>><br>> And keeps going with a new entry every few seconds.<br>><br>> Is /etc/hosts.deny properly set up?
<br>> Is /etc/hosts.deny immediately active or must some service be<br>> restarted to make it go? Does vsftpd bypass /etc/hosts.deny?<br>><br>> Thanks!<br>> Bill Watson<br>> <a href="mailto:bill@magicdigits.com">
bill@magicdigits.com</a><br>><br>><br>> _______________________________________________<br>> rhn-users mailing list<br>> <a href="mailto:rhn-users@redhat.com">rhn-users@redhat.com</a> <a href="https://www.redhat.com/mailman/listinfo/rhn-users">
https://www.redhat.com/mailman/listinfo/rhn-users</a><br><br>_______________________________________________<br>rhn-users mailing list<br><a href="mailto:rhn-users@redhat.com">rhn-users@redhat.com</a> <a href="https://www.redhat.com/mailman/listinfo/rhn-users">
https://www.redhat.com/mailman/listinfo/rhn-users</a><br><br>_______________________________________________<br>rhn-users mailing list<br><a href="mailto:rhn-users@redhat.com">rhn-users@redhat.com</a><br><a href="https://www.redhat.com/mailman/listinfo/rhn-users">
https://www.redhat.com/mailman/listinfo/rhn-users</a><br></blockquote></div><br>