вход через sshd

Где в /etc/ssh/sshd_config запреты прописываются, например запретить входить как root?

man sshd_config

Искать AllowGroups, AllowUsers, DenyGroups, DenyUsers, PermitRootLogin.

наслушался городских легенд про то, что под рутом ходить нельзя?

наслушался городских легенд про то, что под рутом ходить нельзя?

А может насмотрелся журналов с перебором пароля именно для рута? Скрипткиддис - они такие.

Такой вопрос, сервер sshd позволяет залогиниться только как пользователь прописаный в /etc/passwd или у него могут быть свои логины со списком сопоставления?

расскажи - зачем?

Где в /etc/ssh/sshd_config запреты прописываются, например запретить входить как root?

man 5 ssh_config религия не позволила прочитать? Ну хорошо:

PermitRootLogin

Specifies whether root can log in using ssh(1). The argument must be ``yes", ``without-password", ``forced-commands-only", or ``no". The default is ``yes".

If this option is set to ``without-password", password authentication is disabled for root.

If this option is set to ``forced-commands-only", root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication methods are disabled for root.

If this option is set to ``no", root is not allowed to log in.

А может насмотрелся журналов с перебором пароля именно для рута?

что смеёшься? для КОГО ещё?

что смеёшься? для КОГО ещё?

Что спросить-то хотел? Что скриптами пытаются в первую очередь зайти по ssh с пользователями root и mysql - это что, новость?

Что спросить-то хотел? Что скриптами пытаются в первую очередь зайти по ssh с пользователями root и mysql - это что, новость?

что сказать-то хотел? как закрыть rootовый логин? Дык я уже сказал выше...

Кстати, про mysql это для меня новость - неужто ещё есть серверы, на которые можно зайти в shell юзером mysql??? А на кой хрен админ этого сервера такое сотворил?

что сказать-то хотел? как закрыть rootовый логин? Дык я уже сказал выше...

Тред не читал, но напишу? ;-)

Кстати, про mysql это для меня новость - неужто ещё есть серверы, на которые можно зайти в shell юзером mysql??? А на кой хрен админ этого сервера такое сотворил?

Видимо, есть. Просто один раз фильтр на tcp/22 забыл прописать - к утру имел статистику переборов. И с некоторых шелезяк тоже собирается (там фильтров по IP вообще нет).

Видимо, есть. Просто один раз фильтр на tcp/22 забыл прописать - к утру имел статистику переборов. И с некоторых шелезяк тоже собирается (там фильтров по IP вообще нет).

статистика у меня у самого есть. Вот только похоже ты спутал юзера mysql, с портом mysql(3306).

позволяет залогиниться только как пользователь прописаный в /etc/passwd

Нет. Позволяет залогинится так, как прописано в /etc/pam.d/sshd

Для root есть PermitRootLogin.
И ещё как тебе сказали AllowUsers.

Вот только похоже ты спутал юзера mysql, с портом mysql(3306).

Не спутал. У этого юзера еще почту по pop3 «читают» регулярно :-).

Если проблему ещё не решил, то советую fail2ban.

Если проблему ещё не решил, то советую fail2ban.

Проблему с забывчивостью? ;-) Де нет, решил тем-же утром, что отчет по безопастности получил. :-)))

На «шелезяках без фильтров» ничего поставить нельзя просто - коммутаторы это.

P.S.: А по журналу читающих почту root и mysql я баню. Очень удобно.

Тогда уж лучше

iptables -A INPUT -p tcp --dport 22 -m recent ...

Для root есть PermitRootLogin.
И ещё как тебе сказали AllowUsers.

Понятно.

расскажи - зачем?

Ну вот допустим есть у меня пользователь gateadmin, я удалил его пароль через «passwd -d gateadmin» и, когда локально вхожу через login, просто набираю gateadmin, пароль не запрашивается, серверная всё равно заперта на ключ.
Удалённо через ssh таким образом входить нельзя, поэтому я естественно через DenyUsers запрещу. Но можно ли сделать логин sshadmin с неким паролем, введя который я заходил бы как пользователь gateadmin?

Но можно ли сделать логин sshadmin с неким паролем, введя который я заходил бы как пользователь gateadmin?

UID и GID им один поставь. Очевидно-же.

Еще вариант - «sudo -u gateadmin» в профайл. (Права только дать надо в sudoers).

К чему такие извращения? Просто настрой в ssh запрет на авторизацию по паролю и настрой авторизацию по ключу.

А по журналу читающих почту root и mysql я баню. Очень удобно.

заняться нечем? Этих ботов в сети Over9000M

заняться нечем? Этих ботов в сети Over9000M

Процессору на сервере раз в пять минут? Он что, полсекунды уделить не может? ;-)

(Не я в прямом смысле - скрипт из крона)

Но можно ли сделать логин sshadmin с неким паролем, введя который я заходил бы как пользователь gateadmin?

можно. Сделать юзера sshadmin, у которого UID равен UID gateadmin.

Процессору на сервере раз в пять минут? Он что, полсекунды уделить не может? ;-)

ну _добавить_ не долго, но проверять КАЖДЫЙ пакет на source IP == список из 100500 ботов - это fail.

ну _добавить_ не долго, но проверять КАЖДЫЙ пакет на source IP == список из 100500 ботов - это fail.

Зачем КАЖДЫЙ. Только TCP/SYN и по таблице. Там по по хэшу. Накладных - минимум.

...а учитывая, что большинство ботов - суть завирусованные домашние компы на динамическом IP, то банить ты их будешь дооолго, и список будет ДЛИННЫЙ. Проверять конечно тоже будет не быстро. Впрочем - ССЗБ.

Зачем КАЖДЫЙ. Только TCP/SYN и по таблице. Там по по хэшу. Накладных - минимум.

ну каждое соединение. Тоже не мало. И зачем там какой-то хеш, если IP это 32х битовое число?

...а учитывая, что большинство ботов - суть завирусованные домашние компы на динамическом IP, то банить ты их будешь дооолго, и список будет ДЛИННЫЙ. Проверять конечно тоже будет не быстро. Впрочем - ССЗБ.

А я, типа, первый день этим занимаюсь и агрегировать сети не умею (в том числе и в скрипте). И выносить их через N дней тоже забываю...

И к сведению - сейчас чаще не компы завирусенные ломятся, а серваки у хакнутого хостера. Просто к слову. Не веришь - проверь по своей статистике.

И зачем там какой-то хеш, если IP это 32х битовое число?

Чтоб таблица 2^32 бит памяти ЯДРА не занимала.

А я, типа, первый день этим занимаюсь и агрегировать сети не умею (в том числе и в скрипте). И выносить их через N дней тоже забываю...

ага... Ну и на кой этот бардак вообще нужен? Не проще-ли просто сменить порт sshd и забить болт? и/или убрать вообще нафиг авторизацию по паролю, оставить по ключу.

И к сведению - сейчас чаще не компы завирусенные ломятся, а серваки у хакнутого хостера. Просто к слову. Не веришь - проверь по своей статистике.

будет время - проверю. Ко мне никто не ломится, нет у меня ничего на 22ом порте. А вешать туда что-то для статистики дебилов мне лень...

Чтоб таблица 2^32 бит памяти ЯДРА не занимала.

и что, там какой-нить восьмибитный хеш замутили? или 10и битный? И с чего ты взял, что там была-бы простая битовая карта на 2^32 бита? Других структур данных нет что-ли? К примеру дерево какое-нить?

ага... Ну и на кой этот бардак вообще нужен? Не проще-ли просто сменить порт sshd и забить болт? и/или убрать вообще нафиг авторизацию по паролю, оставить по ключу.

Блин, дык вот ты о чем! ;-))))

SSH давно закрыт, кроме определенных адресов. И авторизация только на ключе.

Я про «удобно банить» для (POP3|FTP) писал!

А вешать туда что-то для статистики дебилов мне лень...

Ну и не весь. Я ботов-сканеров из POP3/FTP собираю. И из журналов нескольких «особо мудро» (не мной!) настроенных коммутаторов.

и что, там какой-нить восьмибитный хеш замутили? или 10и битный? И с чего ты взял, что там была-бы простая битовая карта на 2^32 бита? Других структур данных нет что-ли? К примеру дерево какое-нить?

Если не лень - посмотри реализацию поиска по хэшам из таблиц в ipfilter и pf (я их использую). Мне - лень.

Ну, затраты на реализацию поиска hash vs. b-tree мы ведь тут обсуждать не будем?

Зачем КАЖДЫЙ. Только TCP/SYN и по таблице. Там по по хэшу. Накладных - минимум.
И выносить их через N дней тоже забываю...

К чему этот велосипед? Вы повторяете функционал модуля recent.

К чему этот велосипед? Вы повторяете функционал модуля recent.

Ну да.

Только с той разницей, что критерии помещения в таблицу, извлечения оттуда, агрегации в сеть и т.д. я задаю САМ.

В recent Вы также задаете критерии попадания и выбывания. По крайней мере, наиболее типично-разумным областям применения соответствует. Советую приглядеться повнимательнее, штука-то удобная.

Я про «удобно банить» для (POP3|FTP) писал!

а... ну POP3|FTP это совсем другая история... Я просто уже привык к тому, что все подряд советуют свой file2bun на любой вопрос по sshd.

Если не лень - посмотри реализацию поиска по хэшам из таблиц в ipfilter и pf (я их использую). Мне - лень.

судя по твоему уверенному тону, ты уже посмотрел... А мне да, лень. Просто ИМХО мне сдаётся, что нет никакого смысла сворачивать 32х битное число в меньший хеш. В большинстве случаев, 32х битное целое и так самый быстрый тип данных.

Ну, затраты на реализацию поиска hash vs. b-tree мы ведь тут обсуждать не будем?

не. Однако замечу, что сворачивать строчку символов хрен знает какой длинны в 32х битный хеш имеет смысл, а вот сворачивать 32х битное число в какой-то хеш... Смысл этого мне не понятен. В отличие от какого-то дерева, которое будет быстро работать и для 10и правил, и для 10К правил.