LINUX.ORG.RU
ФорумAdmin

SSH чей пароль то надо вводить?


0

0

Не могу осилить =( разрешил на сервере в /etc/hosts.allow свой IP, пишу на моем компе ssh IP сервака, и конечно просит пароль, так вот это пароль от учетной записи на сервере обычного домашнего юзера, или ндо специально для ssh отдельного юзера создавать?

anonymous

Все я понял, надо было сделать ssh -p port user@server-address. И еще вопрос, если у меня в /etc/hosts.allow прописан только один IP, А все остальные Deny, насколько это безопасно?

anonymous
()
Ответ на: комментарий от anonymous

>/etc/hosts.allow прописан только один IP, А все остальные Deny, насколько это безопасно?

Нормально.

Есть еще iptables и AllowUsers (sshd_config)

sdio ★★★★★
()
Ответ на: комментарий от sdio

> Нормально.

Может дурацкий вопрос, но... Чем реально опасно выставлять ssh наружу (например, если понадобится на работе срочно что-то сделать из дома) при запрещённом входе под рутом (только по su)? Это же надо знать логин, два сложных пароля, плюс задержки там такие что любой перебор будет длиться годами. Может я чего не понимаю?

anonymous
()
Ответ на: комментарий от anonymous

> Чем реально опасно выставлять ssh наружу (например, если понадобится на работе срочно что-то сделать из дома) при запрещённом входе под рутом (только по su)?

Да в общем ничем. Особенно если разрешить аутентификацию только по паре ключей (man sshd_config на тему PubkeyAuthentication и отключения всяких других Authentication)

> /etc/hosts.allow прописан только один IP, А все остальные Deny, насколько это безопасно?


На всякий случай заострю внимание на том, что "все остальные" будут "Deny" только лишь при наличии строки

SSHD: ALL

в /etc/hosts.deny

dexpl ★★★★★
()
Ответ на: комментарий от anonymous

теоретически ничем - но неизвестно какие дыры в ssh могут найтись завтра - а когда стоит ограничение по ай - это дополнительный бастион можно сказать кроме того - можешь разрешить пытаться зайти отовсюду - и очень скоро увидишь в логах сколько червей ползает по инету в с попытками подборов паролей - они не просто так подбирают - кто то как то нашел дыру - запрограммировал червя и тот пополз :) какая дыра найдется завтра - неизвестно так что это из разряда - береженного бог бережет :) веть от тебя не убудет - а риск снижается значительно

Astin
()
Ответ на: комментарий от true_admin

тоже правильно это еще один момент защиты береженного которого бог бережет но речь не про логи - а про то что сегодня они так бегают - завтра будут другие порты тоже смотреть это к тому что лишняя - тем более что не отягощаяющая защита не помешает

Astin
()
Ответ на: комментарий от Astin

> тем более что не отягощаяющая защита не помешает

Как "не отягощающая"? Закрою я в iptables нужный порт снаружи, ура - черви мне пофигу. А я сам как туда подключаться буду? :)

Есть идея правда - заливать через FTP определённый файлик. При наличии данного файла ssh включается. Удаляем - выключается. Никто не заморачивался? А то не очень представляю как это реализовать...

anonymous
()
Ответ на: комментарий от anonymous

>Как "не отягощающая"? Закрою я в iptables нужный порт снаружи, ура - черви мне пофигу. А я сам как туда подключаться буду? :)

>Есть идея правда - заливать через FTP определённый файлик. При наличии данного файла ssh включается. Удаляем - выключается. Никто не заморачивался? А то не очень представляю как это реализовать...

Ну поставить в крон проверку на существование файла и выполнение соответсвующих iptables -I, iptables -D. Но это костыль жестокий получается.

Есть такая штука - knock, думаю тебе она какраз подойдёт.

http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki

Nao ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.