Forum » Operacijski sistemi » sshd zaščita
sshd zaščita
tx-z ::
Imam 2 vprašanji.
1. ali se da nastaviti sshd, da sprejme povezavo le če je bila vzpostavljena recimo na neki.domain.com .
Torej imam več domen preusmerjenih na nek strežnik. Če se nekdo poveže na ssh preko katerekoli domene(ali direkt IP) potem se odziva kot da ni sshd-ja, če se pa nekdo poveže na točno določeno domeno potem pa prime?
2. Sem inštaliral pam_abl in vse potrebne stvari, rekompajlu sshd da ma podporo za pam, vendar po 3eh napačnih poskusih se še vedno lahko prijavim(tako sem nastavil config). Datoteka /var/log/auth.log,kamor naj bi pam_abl zapisovau napačne poskuse sploh ne obstaja. Kšn predlog?
Pa hvala za odgovore;)
1. ali se da nastaviti sshd, da sprejme povezavo le če je bila vzpostavljena recimo na neki.domain.com .
Torej imam več domen preusmerjenih na nek strežnik. Če se nekdo poveže na ssh preko katerekoli domene(ali direkt IP) potem se odziva kot da ni sshd-ja, če se pa nekdo poveže na točno določeno domeno potem pa prime?
2. Sem inštaliral pam_abl in vse potrebne stvari, rekompajlu sshd da ma podporo za pam, vendar po 3eh napačnih poskusih se še vedno lahko prijavim(tako sem nastavil config). Datoteka /var/log/auth.log,kamor naj bi pam_abl zapisovau napačne poskuse sploh ne obstaja. Kšn predlog?
Pa hvala za odgovore;)
tx-z
- spremenilo: tx-z ()
borchi ::
1. hosts.allow, hosts.deny? čeprav ne vem, kako odgovori sshd, če se povežeš z napačnega ip-ja. ne vem, če se bo znal delat kot da na tem portu sploh ni sshd-ja. tako da je bolje to naredit na firewall-u.
l'jga
Zgodovina sprememb…
- spremenil: borchi ()
tx-z ::
Hmm, misml da ste me narobe razumel. Nima veze s kerga ip-ja se povežš, ampak NA ker ip se povežeš. recimo če se povežš na server ti bo javu
login as:
@domain.com's password:
..oz.
login as:
@10.0.0.10's password:
Torej sam sshd zazna NA kaj si se povezu. Js bi pa rad da sprejme povezavo če si se povezu na točno določeno domeno.
login as:
@domain.com's password:
..oz.
login as:
@10.0.0.10's password:
Torej sam sshd zazna NA kaj si se povezu. Js bi pa rad da sprejme povezavo če si se povezu na točno določeno domeno.
tx-z
Bagr ::
1.omejitve se v sshd dela v hosts.allow, hosts.deny v katere lahko pises tako domene ko IP-je
2. datoteka /var/log/auth.log mora obstajati, ce ne obstaja jo pa ustvari, tako se ti bojo stvari vsaj logirale. Poglej tudi v /var/log/message
Pri namestitvah pam_* je potrebno ponavadi rocno porapvit nastavitve v /etc/pam.d/xxxx (odvisno od distribucije ubuntu ima common-*, gentoo system-auth)
za pam_abl mora biti dodano nekaj takega
auth required /lib/security/pam_abl.so config=/etc/security/pam_abl.conf
2. datoteka /var/log/auth.log mora obstajati, ce ne obstaja jo pa ustvari, tako se ti bojo stvari vsaj logirale. Poglej tudi v /var/log/message
Pri namestitvah pam_* je potrebno ponavadi rocno porapvit nastavitve v /etc/pam.d/xxxx (odvisno od distribucije ubuntu ima common-*, gentoo system-auth)
za pam_abl mora biti dodano nekaj takega
auth required /lib/security/pam_abl.so config=/etc/security/pam_abl.conf
The beauty of open source is that somebody will eventually make it all work
b ::
1. Če imaš vse hostname-e mapirane na isti IP, potem tega ne moreš blokirat. Če imaš različne IP-je, potem bi lahko dovolil s firewallom samo povezave na dotični IP.
2. Don't bother. Postavi SSH na drug port, pa ne boš videl bruteforcinga. Če dodaš še kakšen portknocking ali kaj podobnega, si pa itak zmagal. S tem se zaščitiš še pred potencialnimi exploiti za SSH.
To je, če rabiš SSH samo zase (ter morda še koga). Če ga uporablja več ljudi, je zanje verjetno že preveč komplicirano in je tvoja sedanja rešitev OK.
2. Don't bother. Postavi SSH na drug port, pa ne boš videl bruteforcinga. Če dodaš še kakšen portknocking ali kaj podobnega, si pa itak zmagal. S tem se zaščitiš še pred potencialnimi exploiti za SSH.
To je, če rabiš SSH samo zase (ter morda še koga). Če ga uporablja več ljudi, je zanje verjetno že preveč komplicirano in je tvoja sedanja rešitev OK.
borchi ::
ListenAddress x.y.z.w v sshd_config?
edit: lahko pa seveda dodaš poljubno veliko takih entry-jev.
edit: lahko pa seveda dodaš poljubno veliko takih entry-jev.
l'jga
Zgodovina sprememb…
- spremenil: borchi ()
tx-z ::
No sej na drug port sm že dal. Sam sm hotu še dodatno zaščito. Sm pa pr pam vse nastavil; sm mel pa veliko težav. K sm inštaliru PAM, mi je vse njegove module(pam_deny.so,...) kompajlu v eno datoteko, namest da bi mapo naredu pa v mapi vsako datoteko posebi; sam sm tut to rešu. Pa confige sm vse nastavu,..A je dost pol da je sam pam vklopln v sshdju, al ga treba še posebi kej zagnat?
tx-z
tx-z ::
Ta ListenAddress sicer dela za IP, ne pa za domene
edit: No hvala! Tole dela
edit: No hvala! Tole dela
tx-z
Zgodovina sprememb…
- spremenilo: tx-z ()
'FireSTORM' ::
1. Pozabi. Klient katerokoli domeno vpiše dobi od DNS IP in se poveže na IP. In če prav razumem je IP enak le več domen.
2. V sshd_config imaš omejitev koliko krat lahko se zmotiš za geslo da potem prekine povezavo, default je 6 če se ne motim.
Če pa misliš brute force protection pa ti to nič ne pomaga in si namesti blockhosts python script ki mi je do sedaj edina pomagala.
2. V sshd_config imaš omejitev koliko krat lahko se zmotiš za geslo da potem prekine povezavo, default je 6 če se ne motim.
Če pa misliš brute force protection pa ti to nič ne pomaga in si namesti blockhosts python script ki mi je do sedaj edina pomagala.
Those penguins.... They sure aint normal....
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Debian in sftpOddelek: Operacijski sistemi | 963 (903) | OmegaBlue |
| » | OpenSSH za Windows in certifikatOddelek: Omrežja in internet | 2240 (2240) | Poldi112 |
| » | sshd - zakleni ip, po x neuspelih login-ihOddelek: Omrežja in internet | 1369 (1092) | SasoS |
| » | disable root loginOddelek: Operacijski sistemi | 1423 (1113) | 'FireSTORM' |
| » | Clarkconnect: kako preprečiti DDoS napade iz lokalne mreže?Oddelek: Omrežja in internet | 2276 (1642) | pecorin |