безопасность ssh

Максимум что можно сделать с SSH - подобрать пароль. И эта лажа становится не актуальной при авторизации по ключу юзера. А ключ уж и за год не подобрать. Хотя слыхал, что RSA алгоритм давал сбои. И еще главное быть уверенным в первом соединении, когда сервер шлет Вам свой pubkey, тк его принимаем наудачу ( есть конечно способы этого избежать, но это не суть ) А полностью безопасного - такого, наверное, нет нигде. ):

- Хотелось бы уточнить - какая вероятность взома из 100%? - Просто стоит вопрос - админить из локалки,или из дому.(Из дома удобнее конечно =)..

1. Взломать можно всё (есть такая поговорка -- дурак и *уй сломает, к присутствующим не относится).

2. Регулярно следим за обновлениями ssl и ssh (и вообще читаем как минимум bugtraq и vuln-dev рассылки), в случае чего патчимся _немедленно_.

3. Для снижения вероятности поломки водружаем сервер на случайным образом выбранный нестандартный порт, можно также поиграть с запретом ICMP/UDP на него, вообще разрешить коннекты только с тех адресов, с которых будем ходить.

4. Параноики ;-) могут дополнительно поднять схему port-knocking.

И, пожалуй, самое главное: стоимость мероприятий по защите не должна значительно превышать стоимость потерь от взлома.

Еще рекомендуют запретить вход по root в ssh!
Таким образом надо будет зайти под уже созданным юзверем и сделать su -

Двойная защита! Как в рекламе =)

поставить на от балды придуманый порт а в iptables поставить на все порты кроме рабочих TARPIT на syn

п.с. сканировать и искать sshd оооочень неудобно будет :-)

Ну тут еще вопрос стоит, а где машина надежнее с которой ты делаешь ssh, просто сканер клавиатуры, это не что-нибудь абстрактное...

- Спасибо за понятные и нужные ответы!

anonymous (*) (17.02.2005 21:23:42)