LINUX.ORG.RU
ФорумAdmin

SSH чей пароль то надо вводить?


0

0

Не могу осилить =( разрешил на сервере в /etc/hosts.allow свой IP, пишу на моем компе ssh IP сервака, и конечно просит пароль, так вот это пароль от учетной записи на сервере обычного домашнего юзера, или ндо специально для ssh отдельного юзера создавать?

anonymous

Re: SSH чей пароль то надо вводить?

первое.

Redfoxnet ()

Re: SSH чей пароль то надо вводить?

Все я понял, надо было сделать ssh -p port user@server-address. И еще вопрос, если у меня в /etc/hosts.allow прописан только один IP, А все остальные Deny, насколько это безопасно?

anonymous ()
Ответ на: Re: SSH чей пароль то надо вводить? от sdio

Re: SSH чей пароль то надо вводить?

> Нормально.

Может дурацкий вопрос, но... Чем реально опасно выставлять ssh наружу (например, если понадобится на работе срочно что-то сделать из дома) при запрещённом входе под рутом (только по su)? Это же надо знать логин, два сложных пароля, плюс задержки там такие что любой перебор будет длиться годами. Может я чего не понимаю?

anonymous ()
Ответ на: Re: SSH чей пароль то надо вводить? от anonymous

Re: SSH чей пароль то надо вводить?

> Чем реально опасно выставлять ssh наружу (например, если понадобится на работе срочно что-то сделать из дома) при запрещённом входе под рутом (только по su)?

Да в общем ничем. Особенно если разрешить аутентификацию только по паре ключей (man sshd_config на тему PubkeyAuthentication и отключения всяких других Authentication)

> /etc/hosts.allow прописан только один IP, А все остальные Deny, насколько это безопасно?


На всякий случай заострю внимание на том, что "все остальные" будут "Deny" только лишь при наличии строки

SSHD: ALL

в /etc/hosts.deny

dexpl ★★★★★ ()
Ответ на: Re: SSH чей пароль то надо вводить? от anonymous

Re: SSH чей пароль то надо вводить?

теоретически ничем - но неизвестно какие дыры в ssh могут найтись завтра - а когда стоит ограничение по ай - это дополнительный бастион можно сказать кроме того - можешь разрешить пытаться зайти отовсюду - и очень скоро увидишь в логах сколько червей ползает по инету в с попытками подборов паролей - они не просто так подбирают - кто то как то нашел дыру - запрограммировал червя и тот пополз :) какая дыра найдется завтра - неизвестно так что это из разряда - береженного бог бережет :) веть от тебя не убудет - а риск снижается значительно

Astin ()
Ответ на: Re: SSH чей пароль то надо вводить? от true_admin

Re: SSH чей пароль то надо вводить?

тоже правильно это еще один момент защиты береженного которого бог бережет но речь не про логи - а про то что сегодня они так бегают - завтра будут другие порты тоже смотреть это к тому что лишняя - тем более что не отягощаяющая защита не помешает

Astin ()
Ответ на: Re: SSH чей пароль то надо вводить? от Astin

Re: SSH чей пароль то надо вводить?

> тем более что не отягощаяющая защита не помешает

Как "не отягощающая"? Закрою я в iptables нужный порт снаружи, ура - черви мне пофигу. А я сам как туда подключаться буду? :)

Есть идея правда - заливать через FTP определённый файлик. При наличии данного файла ssh включается. Удаляем - выключается. Никто не заморачивался? А то не очень представляю как это реализовать...

anonymous ()
Ответ на: Re: SSH чей пароль то надо вводить? от anonymous

Re: SSH чей пароль то надо вводить?

>Как "не отягощающая"? Закрою я в iptables нужный порт снаружи, ура - черви мне пофигу. А я сам как туда подключаться буду? :)

>Есть идея правда - заливать через FTP определённый файлик. При наличии данного файла ssh включается. Удаляем - выключается. Никто не заморачивался? А то не очень представляю как это реализовать...

Ну поставить в крон проверку на существование файла и выполнение соответсвующих iptables -I, iptables -D. Но это костыль жестокий получается.

Есть такая штука - knock, думаю тебе она какраз подойдёт.

http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki

Nao ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.