Настройка «проброса» порта через IPtables

Прикольно, читал про port knocking, но ни разу не сталкивался с его реализацией.

Не то это все. Измените параметры Token* со значений 10, 20, 30 и 40 на любые другие числа не более 1024. Рассматривайте эту комбинацию чисел как ваш код доступа, п

И нафига это ( knockd рулез. Там можно выставить числа и выше 1024 Но самое важное интервал опроса портов , за определенное количество времени.

Ну это же костылище. Чем же ssh не угодил?

>Там можно выставить числа и выше 1024

я так понимаю, что имеется в виду тот факт, что порты выше 1024 может открыть любой процесс, поэтому предлагается оставаться в пространстве, контролируемом рутом, а все железно остальное прикрыть.

iptables на селе

>Ну это же костылище. Чем же ssh не угодил?

ну так я так понял, порт ssh открывается только после "тоукенов".

писец, и в чом новость?

Чем это лучше knockd?

Интересная статья. Паранойя++.

жесть, какое извращение

>ну так я так понял, порт ssh открывается только после "тоукенов".

А смысл? Кроме геморроя с тем, что сам забываешь эту последовательность? Если адоедают строчки в логах, ну перемести ssh на нестандартный порт и народ не будет ломиться.

Эта псевдозащита только расслабляет и провоцирует реальные взломы.

Интересная сама идея.

>А смысл? Кроме геморроя с тем, что сам забываешь эту последовательность?

А пароль на рута ты не боишься забыть?

>Если адоедают строчки в логах, ну перемести ssh на нестандартный порт и народ не будет ломиться.

Так можт мне надо доступ не к ссш, а к более нежному сервису.

>Эта псевдозащита только расслабляет и провоцирует реальные взломы.

Если ограничиваться 4-мя тоукенами по 1024, это уже соответствует 10-символьному паролю - у многих и такого нет :)

Но вообще, кнокд наверное проще.

> А смысл? Кроме геморроя с тем, что сам забываешь эту последовательность? Если адоедают строчки в логах, ну перемести ssh на нестандартный порт и народ не будет ломиться.

Еще запретить вход по ssh под root-ом. И самого root переименовать.

>И самого root переименовать.

Что это даёд?

Концептуально -- fwknop покруче будет (http://cipherdyne.org/fwknop/).

>А пароль на рута ты не боишься забыть?

пароль рута нужен постоянно, а тут - редко. К тому же имеет смысл наоборот, закрыть доступ по паролю и ходить по ключам.

>Так можт мне надо доступ не к ссш, а к более нежному сервису.

Тем более. Оставить только ssh, а к остальным заход только с локалхоста через ssh тунель.

>Если ограничиваться 4-мя тоукенами по 1024, это уже соответствует 10-символьному паролю - у многих и такого нет :)

Вот именно про это я и говорил. Эта штука аналогична 10-символьному паролю в telnet.

>Что это даёд?

тоже самое, что и простукивание портов.

Для тинейджера - систему без рута.

Для админа - лишнюю головную боль.

Для хакера - ничего.

>>А пароль на рута ты не боишься забыть?

>пароль рута нужен постоянно, а тут - редко.

Если я логинюсь по ссш - то явно не под рутом.

>К тому же имеет смысл наоборот, закрыть доступ по паролю и ходить по ключам.

В идеале и то и другое, но таскать с собой ключи не всегда возможно.

>Тем более. Оставить только ssh, а к остальным заход только с локалхоста через ssh тунель.

Так в статье как раз это и рассматривается. При этом скрывается порт ssh. Т.е. взломщик не может узнать, есть ли у тебя вообще открытые порты.

>Вот именно про это я и говорил. Эта штука аналогична 10-символьному паролю в telnet.

Во-первых, потом еще надо угадать, на каком порту висит ssh. Потом логин/пароль уже к непосредственно ssh(ключ по вкусу). Ну и дипазоном и количеством тоукенов необязательно так ограничиваться.

Какой-то косячный метод. Снифится на раз-два. SSH/VPN -- наше все.

>Какой-то косячный метод. Снифится на раз-два. SSH/VPN -- наше все.

Странные вы люди. Вам про то, как не светить SSH/VPN, а вы - что SSH/VPN лучше, непонятно чего.

>Так в статье как раз это и рассматривается. При этом скрывается порт ssh. Т.е. взломщик не может узнать, есть ли у тебя вообще открытые порты.

так и нечего тогда говорить про "нежные" сервисы.

>Если я логинюсь по ссш - то явно не под рутом.

тогда настрой себе sudo.

>Во-первых, потом еще надо угадать, на каком порту висит ssh.

Вот именно про это и разговор. Уже второй раз говорится, что порт или последовательность портов нужно угадать. Все это нужно только до тех пор, пока не узнал, что такое tcpdump или wireshark.

Это все равно, что переставить ручку от двери чуть в сторону. Да, это хорошо спасает от роботов, обстукивающих хосты. Но в том-то и беда, что админ настроив это поделие начинает думать, что он в безопасности и вполне можно поставить пароль root/root.

При этом его производительность страдает, поскольку все эти костыли делают системы неединообразными. Много раз наблюдал, как админ навтыкав таких костылей в виде переименованных рутов, переумучаных правил iptables, виртуальных машин и хитрых заходов в них, сам потом отказывался их сопровождать просто потому что геморно.

А зачем его не светить? Что это дает? Указанный эффект легко достигается простым переносом порта. По желанию на порт другого сервиса, чтобы уж совсем обмануть.

>А зачем его не светить? Что это дает?

То что существование открытого сервиса просто не заметят.

>Указанный эффект легко достигается простым переносом порта. По желанию на порт другого сервиса, чтобы уж совсем обмануть.

Кого это обманет? Есть большая разница, когда есть какой-то открытый порт, и нужно угадать что на нем висит, и когда открытых портов просто нет.

Мдааа. А завтра появятся новости: "Как открыть порт в Линукс", а послезавтра: "Как закрыть порт в Линукс".

З.Ы: нафиг оно нужно, если можно реализовать все намного проще через IPT recent?

>>Если я логинюсь по ссш - то явно не под рутом.

>тогда настрой себе sudo.

При чем тут? Ты говорил про то, что обычно помнишь только рутовский пароль и не запомнишь лишних циферок, а я тебе, что логиниться все равно не под рутом.

>Вот именно про это и разговор. Уже второй раз говорится, что порт или последовательность портов нужно угадать.

Еще надо угадать, что есть что угадывать.

>Все это нужно только до тех пор, пока не узнал, что такое tcpdump или wireshark.

Как они угадают, в какой последовательности нужно потыкаться в несколько портов, чтобы открылся другой порт? Если при этом реализовать таймауты, то сканить ты будешь миллиард лет.
И напомню, что при этом ты даже не можешь быть уверен, что машина вообще есть в сети.

>Да, это хорошо спасает от роботов, обстукивающих хосты. Но в том-то и беда, что админ настроив это поделие начинает думать, что он в безопасности и вполне можно поставить пароль root/root.

Это уже из разряда ССЗБ. Такие меры дополняют безопасность, а не делают абсолютной.

>При чем тут? Ты говорил про то, что обычно помнишь только рутовский пароль и не запомнишь лишних циферок, а я тебе, что логиниться все равно не под рутом.

При том, что если ты залогинен под простым пользователем, то благодаря sudo тебе рутовый пароль будет не нужен.

>Еще надо угадать, что есть что угадывать.

Зачем? Если кто-то коннектится, значит есть и порты.

>Как они угадают, в какой последовательности нужно потыкаться в несколько портов, чтобы открылся другой порт?

значит я угадал насчет пионерского незнания. почитай что такое tcpdump или wireshark. Все там прописано. А пока используй телнет. Откуда враги узнают твой пароль? Он на экране не отображается.

>И напомню, что при этом ты даже не можешь быть уверен, что машина вообще есть в сети.

Угу, а потом прибегает юзер - не работает твой сервер и админ сам не знает, работает он или нет...

Еще раз. Если хочешь усложнить жизнь ботам - просто переставь порты. Это сразу многократно увеличит нагрузку на них и сделает их работу крайне неэффективной. А если хочешь избежать адресной атаки - пользуйся методами повышающими безопасность, а не имитирующими ее.

>При том, что если ты залогинен под простым пользователем, то благодаря sudo тебе рутовый пароль будет не нужен.

Предпочитаю, когда пароль на судо есть.

>значит я угадал насчет пионерского незнания. почитай что такое tcpdump или wireshark. Все там прописано. А пока используй телнет. Откуда враги узнают твой пароль? Он на экране не отображается.

Ты видимо шлангуешь. Для этого надо целенаправлено прослушивать трафик, находясь при этом где-то по-пути. А вот тыща китайцев просто не заметит моего сервака и не станет его дрочить.

>Угу, а потом прибегает юзер - не работает твой сервер и админ сам не знает, работает он или нет...

У тебя наверное, и пароль на все серваки одинаковый, из мотивации, чтоб юзера вдруг не обламывать?

>Еще раз. Если хочешь усложнить жизнь ботам - просто переставь порты.

Еще раз. Это оставит открытый порт, за который есть возможность зацепиться. Отсутсвие открытого порта в 99% сделает твою машину незамеченной, если атака изначально не целенаправлена.

>Предпочитаю, когда пароль на судо есть.

блин, да ты и про судо не в курсе. оно никогда рутовый пароль не спросит...

>А вот тыща китайцев просто не заметит моего сервака и не станет его дрочить.

да они и нестандартные порты тоже сканировать не будут.

>У тебя наверное, и пароль на все серваки одинаковый, из мотивации, чтоб юзера вдруг не обламывать?

ключами обхожусь. И юзер здесь не причем. Вероятность, что хост упал из за проблем с железом/электричеством и т.д. на порядки выше, чем вероятность его взлома через пинг или ssh.

>Еще раз. Это оставит открытый порт, за который есть возможность зацепиться. Отсутсвие открытого порта в 99% сделает твою машину незамеченной, если атака изначально не целенаправлена.

а толку? что, кроме ssh можно так прикрыть? апач? имап? днс? А ssh и так хорошо защищен. Уж если ssh надо так прикрывать, значит нужно просто выдергивать шнурок из эзернета и просить вставить его по телефону...

>>Предпочитаю, когда пароль на судо есть.

>блин, да ты и про судо не в курсе. оно никогда рутовый пароль не спросит...

Ололо, убонтоед?

>да они и нестандартные порты тоже сканировать не будут.

Смотря какой кулхацкер попадется.

>А ssh и так хорошо защищен.

Ну ведь зачем-то его любят флудить?

>Ололо, убонтоед?

чурбан. судо _никогда_ не спрашивает пароль рута.

>Смотря какой кулхацкер попадется.

в том суть защиты. Вместо миллиарда китайских какеров получить десяток "каких" кульхацкеров.

>Ну ведь зачем-то его любят флудить?

даже не знаю, зачем. с момента последнего эксплойта ssh1 прошло уже столько времени...

>А вот тыща китайцев просто не заметит моего сервака и не станет его дрочить.

хехе. да ты у нас просто Неуловимый Джо-2.

>Отсутсвие открытого порта в 99% сделает твою машину незамеченной

чудные люди. шифрованный ssh боятся выставлять, а обычные MTA, httpd, dns - нет

ты с теорией и практикой защиты информации знаком? что такое ценность информации и стоимость взлома знаешь?

зы: да, и свой открытый ключ тоже не публикуй, а то мало ли, подумают что ты тероррист раз ключ имеешь

зыы: а ты не бздун часом? у них тоже много разного шаманства, заманух и суеверий вместо знаний

>даже не знаю, зачем. с момента последнего эксплойта ssh1 прошло уже столько времени...

бывают попытки взлома по словарю. это уж не знаю на каких дураков расчитано. на бзуднов и вантузятников наверное.

достаточно выставить задержку вменяемую - и нагрузки нет и переборы до ж%пы

>чурбан. судо _никогда_ не спрашивает пароль рута.

Подумай хорошенько над этими двумя предложениями.

> чурбан. судо _никогда_ не спрашивает пароль рута. 

херь пишешь, это зависит от настроек, man sudoers:

       rootpw          If set, sudo will prompt for the root password instead of the password of the invoking user.  This
                       flag is off by default.

       runaspw         If set, sudo will prompt for the password of the user defined by the runas_default option
                       (defaults to root) instead of the password of the invoking user.  This flag is off by default.

Ну наконец-то дошли до сути :) В очередной раз кто-то сел в лужу :)

Честно говоря, даже не знал, что sudo можно заставить справшивать пароль рута или другого пользователя.

В одном случае он вырождается со своими оговорками в обычный su, а в другом, наверное, применим ля гостевых логинов, что в общем, тоже сильно специальный случай.

заметь, оба флага по умолчанию отключены.

> А зачем его не светить? Что это дает? Указанный эффект легко достигается простым переносом порта.

Это дает дополнительную защиту к переносу портов. По моему очевидно. Параною еще никто не отменял.

>Это дает дополнительную защиту к переносу портов. По моему очевидно. Параною еще никто не отменял.

Каждый элемент системы безопасности должен иметь свое обоснование.

Например, перенос порта не является элементом безопасности вообще. Это защита от спама (мусорного трафика). И применяется только в том случае, когда есть существенный объем такого трафика.

Бессмысленное "дополнительное" усложнение системы безопасности неизбежно ведет к дырам в оной.

>заметь, оба флага по умолчанию отключены.

Тебя дальше мокать?
Ты кроме одного дистрибутива на локалхосте в виртуалке что-нибудь видел? :)

> Например, перенос порта не является элементом безопасности вообще.

Каждый волен трактовать по своему. Вы не хотите чтобы перенос портов назывался частью системы безопасности - ваши личные проблемы, но это пароль с 65к вариантами как ни крути.

> Бессмысленное "дополнительное" усложнение системы безопасности неизбежно ведет к дырам в оной.

Это единственно что система безопасности делает - усложняет доступ к содержимому, но не гарантирует ничего. А по вашему получается что второй замок на дверях всегда лишний.

>это пароль с 65к вариантами как ни крути.

Это открытый пароль, который ловится простейшим автоматическим алгоритмом. поэтому и не является элементом безопасности.

поскольку сам ssh использует гораздо более защищеный механизм защиты, данная мера его не усилит. Это все равно, что на сейф сверху еще шпингалет приварить и надеяться, что злоумышленник откроет все замки, а его не заметит.

>Это единственно что система безопасности делает - усложняет доступ к содержимому, но не гарантирует ничего. А по вашему получается что второй замок на дверях всегда лишний.

Помимо бессмысленности шпингалетов снаружи есть еще и социальный фактор. Народ в повседневной жизни пользуется чем-то одним и это будет именно шпингалет, а не надежный замок. Просто потому что так проще, а злоумышленники нападают крайне редко.

Вообще-то я уже признал, что с судо можно извратиться, чтобы потребовался рутовый пароль. Непонятно зачем, но можно. Осталось только выяснить, какой дистрибутив это использует? Неужто бздя?!

>Помимо бессмысленности шпингалетов снаружи есть еще и социальный фактор.

Вот как раз про социальный фактор. Ты на общедоступных ресурсах щасто видел открытые порты, кроме тех, что положены?

>Вообще-то я уже признал, что с судо можно извратиться, чтобы потребовался рутовый пароль.

Ты забыл признать, что "чурбан" в данном случае относится к тебе, а не ко мне. И вообще извиниться за свою слабость с переходом на личности и другими попытками оскарбить.

>Непонятно зачем, но можно. Осталось только выяснить, какой дистрибутив это использует? Неужто бздя?!

Т.е., редхат или сусе это хрены с горы?
Да, в *бсд-системах по умолчанию рутовый пароль для судо, думаю. И вообще авантюры с паролем юзера редко где можно увидеть.

>Ты забыл признать, что "чурбан" в данном случае относится к тебе, а не ко мне.

Похоже, не совсем.

>Т.е., редхат или сусе это хрены с горы?

И тот и другой требуют ввода пароля самого пользователя, который вызывает sudo.

Использовать пароль рута в судо практически бессмысленно, поскольку в судо принято ограничивать список запускаемых программ и их аргументов, а зная пароль рута ничто не мешает использовать его в su или сразу залогиниться под рутом...

>>Непонятно зачем, но можно. Осталось только выяснить, какой дистрибутив это использует? Неужто бздя?!

>Т.е., редхат или сусе это хрены с горы?
Да, в *бсд-системах по умолчанию рутовый пароль для судо, думаю. И вообще авантюры с паролем юзера редко где можно увидеть.

=======================

Какие-то ламеры собрались и не понятно о чем спорят ...

По умолчанию настройки:

CentOS 5.2 (как и RHEL видимо)
Через ssh можно зайти под root-ом (на мой взгляд это косяк)
sudo требует пароль пользователя (а не root)

Графические утилиты требующие повышенных прав просят пароль именно root, а не самого пользователя.


FreeBSD 7.1
Через ssh вход под root-ом запрещен
sudo требует пароль пользователя

>Какие-то ламеры собрались и не понятно о чем спорят ... Ну какая "защита", такие и спорщики. :^)