LINUX.ORG.RU

20 советов по безопасному использованию сервера OpenSSH

 , ,


0

0

SSH идеально подходит для сохранения конфиденциальности и обеспечения целостности данных при обмене данными между двумя сетями или системами. Основным его преимуществом является аутентификация на сервере с использованием криптографии с открытым ключом. Однако эту службу необходимо грамотно настроить.

>>> Статья

Re: 20 советов по безопасному использованию сервера OpenSSH

> Сижу и представляю себе админа, который не может поднять VPN на сервере, но знающего Cisco. А еще представляю себе этого админа, которому покупают железки под его возможности. Типа Juniper я не знаю, Cisco хочу. Притом с каких времен VPN уже непосилен стандартному админу? По моему "проще пареной репы". :-)

Хорошо. Полста серверов. Разного назначения. Не только "веб". Траф (и на входе и на выходе) самый разнообразный. Твои действия? Поставить полста-первый и на нём поднять VPN? А доступ ко всем остальным через него? Изумительно... Ладно.

Что, предлагаешь не ставить? Но прости, загрузка на машинах и так выше 90%... Куда ещё-то? Дотянуть до пиковой? И смысл?

Какова будет эффективность этого решения? При 50 серверах нет денег на пиксу? Ню-ню... За самую дешёвенькую цена -- 13.735,20 руб. на 5505 (минимальная). Цена взята наугад отсюда -> http://www.vist-lan.ru/index.php?cat=247 Я взял сааааамую дешёвенькую (без IPS -- модуля отражения атак). Но она уже поддерживает 10000 соединений, IPSec VPN туннелей -- 10шт., алгоритмы шифрации -- 3DES/AES (и не софтовые, кстати), VLAN 802.1q -- 3 шт. Машинки подороже и возможности имеют по-серьёзнее.

То есть, денег нет, будем ставить 51 сервер (отдельный, всё по-честному), с тормозящей на нём системой "общего назначения"? Почему "тормозящей"? Да потому что ты не понял моей фразы насчёт:

> на той же пиксе окромя задач фильтрации и протоколирования трафика больше нет вообще ни чего.

На хосте, заточенном под файер (VPN) до фига всего крутится. На пиксе -- нет. И процессор, даже более слабый чем на сервере, будет работать куда как спокойнее, чем самопальный файер/роутер. Не зря разработаны специализированные решения.

А теперь поехали... Я оговорюсь сразу. Я привожу просто навскидку и только то, что есть на железяке. Есть и работает. Итак:

- Я хочу чтобы приходящий по VPN юзер получал бы динамический IP. Т.е., я хочу DHCP-server. Циска умеет. На сервер надо ставить.

- Я хочу синхронизацию часов (устройство должно как минимум само синхронизировать свои часы). Циска умеет. Для сервера -- как минимум ntp-client.

- Я хочу чтобы пользователь отправлялся бы на основании неких правил на тот или иной VLAN. Циска умеет. Для сервера рассказать что нужно сделать?

- Я хочу несколько VPN. В циске по дефолту есть 3 шт., дополнительно -- до UL, по числу лицензий надо докупать.

- Я хочу AES 256 бит (длина ключа). В циске есть. Админ сконфигурит, не проблема, но опять ЦП твоего сервера будет греться... =)

- Я хочу аппаратный модуль защиты от атак, правда, оно начинается с несколько более дорогой 5510 (вот это -> http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/prod_...). На сервере это можно сделать -- переводим карту в promisc. режим и начинаем анализировать трафик. Чем анализировать? А тем, что админ напишет. Когда и если... напишет.

- Я хочу блокировку апплетов Java, ActiveX, ну и запретить обработку чего-либо, кроме статичных страниц для тех, кто получает информацию через мой файер... iptables здесь лучше не использовать -- уровень приложения, как-никак. Предлагаешь поставить SQUID и на нём-то точно всё разрулить? Да ну на фиг... Циска умеет...

- Я хочу чтобы у меня была возможность либо пофиксить, либо отбросить пакет с некорректной (по какой-либо причине) структурой. На циске -- fixup протокол (там много -- до SIP включительно). На каждый предлагаешь написать правило в iptables? И поставить в настройках ядра adv. router? Да ну на фиг...

- Я хочу управление из внутренней сети по SNMP. Циска умеет. Про emerge net-snmp можешь не рассказывать... ... Список могу продолжать. Вот только с барабаном на шее и горном в зубах надоело ходить, ей Богу... Уж прости.

anonymous ()

20 советов по безопасному использованию сервера OpenSSH

>загрузка на машинах и так выше 90%

Ололо!

>При 50 серверах нет денег на пиксу? Ню-ню... За самую дешёвенькую цена -- 13.735,20 руб. на 5505

Которая не умеет IPS/IDS. И 3 VLAN на 50 чужих серверов. И одновременно 25 сеансов VPN. Отлично! Потом какбэ открываем http://www.cisco.com/web/RU/solutions/smb/products/security/asa_5500_series_a... и читаем, на что данные модели расчитаны. Ага, домашний офис или малое предприятие. Тоесть 50 серверов предлагается хранить у меня дома, или на малом предприятии. Это из расчета на 10 сотрудников примерно по серверу? Вах! Шик-блеск. И балансировки загрузки же тоже нет, да? Может всё таки будем считать, что для дата-центра нужен немного другой уровень моделей, и цены будут совсем малость другие?

>Циска умеет. На сервер надо ставить.

А голый сервер вообще ничего не умеет. Там даже операционки нет. Прикинь!

>На сервере это можно сделать -- переводим карту в promisc. режим и начинаем анализировать трафик. Чем анализировать? А тем, что админ напишет. Когда и если... напишет.

А мужики то про Snort ничего и не знают. И т.д. и т.п.

Я понимаю, циска это хорошо. Но каким боком она сможет заменить мне доступ к серверу по ssh я так и не понял. :-(

Mr_Alone ★★★★★ ()

Re: 20 советов по безопасному использованию сервера OpenSSH

> Которая не умеет IPS/IDS.

Ну, мне тут сказки сказывали, да песни пели про офигенную стоимость такого решения. Я просто привёл "уровень цен" для начального уровня, на котором ещё имеет смысл говорить о _самопальном_ сервере VPN. Чем дальше тем страшнее будет. Читай внимательнее.

> А мужики то про Snort ничего и не знают. И т.д. и т.п.

Знают. И очень хорошо знают мужики почему его в пешее эротическое можно отправить. Сразу, а не тратить на него ресурсы. От имени мужиков хочу заметить что Snort, как, по-моему, и любая IDS такого уровня, производит сравнение по шаблону. Эвристики там не было, нет и не будет. Как следствие -- в пешее эротическое. Замечу так же, что мужики умеют при необходимости строить дорожки из чего поприкольнее чем nop (opcode 90). И, кстати, умеют пользоваться... А вот это уже не важно. ;) Если ориентироваться на снорт в чистом виде, то только от ололоидов и защищаться можно достаточно эффективно.

> Но каким боком она сможет заменить мне доступ к серверу по ssh я так и не понял. :-(

Да там, после первого и перед последним постингом, где-то и написано с чего всё началось. Типа -- админ должОн... Да циска -- шлак, а вот самостройный сервер VPN это наше фсио...

anonymous ()

20 советов по безопасному использованию сервера OpenSSH

>на котором ещё имеет смысл говорить о _самопальном_ сервере VPN.

Вот смотри. Есть контора. Нужно добавить VPN. Действия? sudo apt-get install pptpd Конфиг по вкусу поправить, да юзеров добавить. Все работники офиса счастливы, что под любимой вендой из дома могут работать, когда болеют. Это для первых 50%, у которых прямая линия. У вторых стоят дешевые рутеры, которые умеют уже VPN + 10-20 пользователей. И файрвол тоже умеют. Или проще потратить бабло, и купить циску?

>Если ориентироваться на снорт в чистом виде, то только от ололоидов и защищаться можно достаточно эффективно.

Мы же про SoHo говорим, не?

Mr_Alone ★★★★★ ()

Re: 20 советов по безопасному использованию сервера OpenSSH

>Вот смотри. Есть контора. Нужно добавить VPN. Действия? sudo apt-get install pptpd Конфиг по вкусу поправить,...

Вы уверены, что делали именно так? Или только слышали о таком способе? Реальность иная. Попытка соединиться из под ВинХР сп2 заставила не только вспомнить все матерные слова, но и придумать новые.

Вывод: Если необходим pptp, то или Циска, или Фря. Как вариант - править исходники ПоПТоП-сервера или винды ;)

anonymous ()

Re: 20 советов по безопасному использованию сервера OpenSSH

>Вот смотри. Есть контора. Нужно добавить VPN. Действия? sudo apt-get install pptpd Конфиг по вкусу поправить,... >Вы уверены, что делали именно так? Или только слышали о таком способе? Реальность иная. Попытка соединиться из под ВинХР сп2 заставила не только вспомнить все матерные слова, но и придумать новые.

Лично сам так делал, прекрасно в винХР СП2 соединяется и работает. Руки выпрямляйте.

anonymous ()

20 советов по безопасному использованию сервера OpenSSH

>Вы уверены, что делали именно так?

Делал так и на Ubuntu Server и Debian. Всё прекрасно работает. И два месяца назад, и два года назад. А так можно и дальше вешать начальству, что VPN не работает, и покупать для этого циску. Хотя да, чему удивляться, сервера же под стандартной нагрузкой в 90 и более процентов работают.

Mr_Alone ★★★★★ ()

Re: 20 советов по безопасному использованию сервера OpenSSH

> прекрасно в винХР СП2 соединяется и работает. Руки выпрямляйте.

Не всегда. Выпямляй-не выпрямляй, а вот это -> http://kleontiv.spaces.live.com/blog/cns!3921B6BD56A1944D!174.entry иной раз требуется. После наложения SP2 на некоторых машинах у меня были сбои. Пришлось лечить. И, как ни странно, в случае с pptp.

Касаемо pptp вообще.

1. Ну его на фиг это поделие M$ совместно с U.S. Robotics и Cisco.

2. Ну его на фиг, потому как оно в винде поднимается просто. И не предоставляет ни каких доп. средств защиты. Т.е., ломается столь же просто.

Я бы рискнул предложить не pptp, а ipsec (кстати, в пиксах и асах оно по дефолту есть). И сгенерировать нормальный ключ для VPN-клиента, который импортировать под паролем. Т.е., для соединения нужен ключ, а для использования ключа будь добр указать пароль и только потом входить в VPN. Так понадёжнее будет, т.к., если ломануть машину болезного манагера, то оттуда прямой путь в закрытую сетку. Кстати, ВЕСЬ трафик при работе через VPN-клиента будет отправлять по VPN в "свою" сеть и только оттуда разрешать или запрещать что-либо. Если ключ некоторым образом "улетел" на сторону, то пусть пароль угадывают.

Про антивирь и файер на машине манагера вовсе молчу.

3. Эмулировать ppp over eth как-то не особо кошерно выглядит. Хотя, если делать больше нечего, то почему бы и нет?

anonymous ()

Re: 20 советов по безопасному использованию сервера OpenSSH

> Вот смотри. Есть контора. Нужно добавить VPN. Действия? sudo apt-get install pptpd Конфиг по вкусу поправить, да юзеров добавить. Все работники офиса счастливы, что под любимой вендой из дома могут работать, когда болеют. Это для первых 50%, у которых прямая линия. У вторых стоят дешевые рутеры, которые умеют уже VPN + 10-20 пользователей. И файрвол тоже умеют. Или проще потратить бабло, и купить циску?

Тогда проще сделать emerge и использовать hardened-gentoo, т.к. оно добавляет "радости" за счёт защищённой хост-среды. Если по такому варианту идти.

По поводу pptp отбомбился чуть выше.

Давай про предложенное решение. Всё здорово. Но:

1. Ты никогда ничего не забывал конфигурировать? У тебя всегда был софт, который не имел дырок или косяков? Я тебя поздравляю ты -- супер-админ. У меня же был в практике случай, когда один лох педальный поставил анонимный прокс. И _забыл_ ограничить к нему доступ. В те времена и 10Gb было много, китайцы же его контору поставили на бабло, качнув что-то вроде 200-300Gb. Пров радостно выкатил счёт. Дело в том, что у китаёз есть запрет на порнуху и ещё кое-какой контент. И они активно ищут проксы с жирным каналом. Чувак просто "забыл", начальство в тихом аhуе, китайцы рады... Ништяк. Хеппи энд. Что стало с тем лохом -- без понятия.

А теперь рискни чё-нить "забыть" при конфигурировании пиксы, если тот же icmp 8, aka ping _без_разрешения_ вручную там не ходит. Начинаем с мелочи. И, более того, тебе придётся создать нормальную DMZ. Для серваков (почтарь, веб, чё там ещё есть). Примерно так, как оно здесь нарисовано -> http://www.netcraftsmen.net/resources/archived-articles/369-cisco-pix-firewal... , разделяя подсети по классам задач. Это так... Просто пример.

2. Что даёт такой подход на практике. Если даже в inside попал троян, то он там и умрёт (как правило, все лишние порты перекрываются). Если работает не по 80-у порту (т.е., не через COM от IE). Если работает по 80 порту, то здесь тоже под вопросом, т.к. трояну нужен редиректор по хорошему, а у тебя на циске закрыто обращение к динамическим страницам. Т.е., при попытке доступа к http://some.host/redrector.phpи _чего-то_дальше, трояна просто циска не выпустит, сформировав запись в логах. Давай ты это на сервере реализуешь в дополнение к всему?

3. Касаемо DMZ, так тут всё просто -- hardened gentoo и ни каких гвозей. Чтоб случайно "программные реализации" не отключились чудесным образом. SELnux, GrSec2, PaX + SSP -- самое оно. Иначе будет как с тем же Green Dam (программный файер, применяемый в Китае (уж коль о Китае вспомнили) для фильтрации контента). Во-первых, отключаем он, во-вторых, уязвим. Или ты уверен что в iptables нельзя добавить нужное правило (особенно, если хост слабо защищён или уже поломлен)? :)

Как тебе удастся отключить циску незаметно, для меня секрет. И как через неё прорубиться удастся _незаметно_ для меня то же секрет. :)

Касаемо денег. Прикола ради озаботил гугль поиском по "cisco pix б/у". Видел pix 515e за ~$800, 501 -- за ~$250... на любой вкус и кошелёк. Важно только понять что именно нужно. В каком конкретном случае.

Ну, и как post scrptum. Вот те линк -> http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuration_exam... Будь добр, опробуй эти решения "на сервере" и расскажи -- а оно того стоило? :)))

anonymous ()

Re: 20 советов по безопасному использованию сервера OpenSSH

> Хотя да, чему удивляться, сервера же под стандартной нагрузкой в 90 и более процентов работают.

И что тебя удивляет? Думаешь там Апач? 8-| Или для тебя "сервер" это что угодно, но не расчётные (например) задачи? Или не базы данных? Так ты чего, думаешь, что оно так просто я на прошлой неделе заказал 3 сервака по 2.4Tb на каждом? И я просто трачу деньги? С жиру бешусь?

"Вот оно, Михалыч, дело-то как поворачивается..." (с) "Наша RUSSIA".

Мне деваться некуда. Причём, под апачем (в чистом виде) всего одна машинка. Так... Чтоб было.

Да! Чуть не забыл! Два момента: 1. http://www.yolinux.com/TUTORIALS/LinuxTutorialIptablesNetworkGateway.html (туториал по iptables/ipchains) содержит сакраментальную фразу: "Use a CISCO router - Configuration tutorial. (Note: PIX series are preferred for firewall use.)" Понятно... "Они туууупыыыыыеееее..."

2. > Мы же про SoHo говорим, не?

И в чём разница? Между СОХО и не-СОХО? В деньгах? Или в задачах по обеспечению информационной безопасности? Или по потребностям в оной безопасности?

Всегда можно найти приемлемое решение (кстати, если купишь б/у циску, то перешить её не забудь, мало ли). Нет слова "немогу", есть слово "нехочу"... ;) Будешь стремиться из овна конфетки клеить, так оно всегда и будет. По привычке. ;)

anonymous ()

20 советов по безопасному использованию сервера OpenSSH

>Не всегда. Выпямляй-не выпрямляй, а вот это иной раз требуется

И чо? Причем тут pptp вообще? Сам по ссылке читал, в чем там проблема? Нэ?

>1. Ну его на фиг это поделие M$ совместно с U.S. Robotics и Cisco.

Да-да. Ты лично ходишь ко всем сотрудникам домой и настраиваешь им VPN, чтоб так заявлять. А еще ты лично работаешь в МС и твоим решением МС решила использовать что-то другое по умолчанию в своих продуктах. Правда, дружок?

>2. Ну его на фиг, потому как оно в винде поднимается просто.

Охуенный аргумент! Надо чтоб с бубном и плясками, да, дружок?

>. И не предоставляет ни каких доп. средств защиты.

Да ваше никаких. Даже траффик не шифрует.

> Т.е., ломается столь же просто.

Да-да. Каждый день ломается запросто так.

>кстати, в пиксах и асах оно по дефолту есть)

Именно поэтому ты его и рекомендуешь, правда же?

>Про антивирь и файер на машине манагера вовсе молчу.

Да-да. Расскажи мне сказку, как они мешают работе рртр

>Тогда проще сделать emerge и использовать hardened-gentoo

как это по взрослому, Генту использовать.

>Ты никогда ничего не забывал конфигурировать?

Да чего уж там, говори сразу что циски сконфигурированы именно так, как тебе нужно. Ты их покупаешь новые, аль б/у, и именно под твои задачи они уже и заточены. То есть там вообще ничего конфигурять не нужно, и там ничего не забудешь. Слава цискам! Ура-ура-ура!

>Так ты чего, думаешь, что оно так просто я на прошлой неделе заказал 3 сервака по 2.4Tb на каждом? И я просто трачу деньги? С жиру бешусь?

Ололо! Жжошь!

>Мне деваться некуда. Причём, под апачем (в чистом виде) всего одна машинка. Так... Чтоб было.

Точно жжошь!

>Use a CISCO router - Configuration tutorial. (Note: PIX series are preferred for firewall use.)"

Бугага! Ссылка как конфигурять РедХат седьмой и первые федоры на ядре 2.4 Авторитетный ресурс! Если такой советует циску, надо бежать две брать, а то и три!

>И в чём разница? Между СОХО и не-СОХО?

МОжно и микроскопом орехи колоть. И из пушки по воробьям.

Всё понятно с тобой. Крутой одмин, сразу видно. Звиняй, что сразу не признал. Чмоге.

Mr_Alone ★★★★★ ()

Re: 20 советов по безопасному использованию сервера OpenSSH

> И чо? Причем тут pptp вообще? Сам по ссылке читал, в чем там проблема? Нэ?

В очо. Если не вкурил, то вкуривай. Оно что при pptp, что без него на SP2 _может_ слететь, а может и нет. Без мозгов штоль читаешь? Или болье сказать неча?

> Да-да. Ты лично ходишь ко всем сотрудникам домой и настраиваешь им VPN, чтоб так заявлять. А еще ты лично работаешь в МС и твоим решением МС решила использовать что-то другое по умолчанию в своих продуктах. Правда, дружок?

Слыш, а те не поровну? Уж как я делаю свою работу, тебя не должно скрести. > Да ваше никаких. Даже траффик не шифрует.

И как шифрация трафика помешает поднять pptp с подломленой машины?

> Да-да. Расскажи мне сказку, как они мешают работе рртр

Да с какого перепою-то? Извини, ты идиот от Бога или тебя таким жизнь сделала? Или до тебя не доходит что с ломаной машинки верная дорога в твой VPN? Только вот как ты, не зная ключа, нужно импортировать в VPN-клиент, туда полезешь? Если для случая с IPSec.

Впрочем, ладно. Ясно... Те по теме есть чё сказать? Или окромя брызг слюны на мониторе я ничего не увижу? Думаю, что нет. На хер. К терапевту.

anonymous ()

20 советов по безопасному использованию сервера OpenSSH

>Если не вкурил, то вкуривай.

По ссылке поломанный TCP/IP стёк и всё вокруг этого. Так если кабель вытащить из компа, тоже Инет и рртр работать не будут.

>И как шифрация трафика помешает поднять pptp с подломленой машины?

Подними, ёпта. Возьми и подними, а потом пиши.

>Если для случая с IPSec

А что, на подломленую машину сканер клавы не поставить, который пароли будет снифать? Не, никак? Или чо, пароль на рртр въедается в систему, и его значит сразу найдешь, а вот для IPSec никаким образом не получить? Что за бред ты тут пишешь?

>Или окромя брызг слюны на мониторе я ничего не увижу?

Пока что ты тут слюной брыжешь со своей циской, не зная и не умея очевидных вещей.

Mr_Alone ★★★★★ ()

20 советов по безопасному использованию сервера OpenSSH

ну ты что, конечно для того чтобы два человека заходили из интернета в офисную локалку по впн нужно обязательно купить циску, а лучге сразу две.

maloi ★★★★★ ()

Re: 20 советов по безопасному использованию сервера OpenSSH

> Подними, ёпта. Возьми и подними, а потом пиши.

ПИШУ ЧИСТО ИЗДЁВКИ РАДИ... Те на PowerShell пойдёт? Читай внимательно здесся -> http://technet.microsoft.com/en-us/library/ee431701(WS.10).aspx Модифицировать пример и подсунуть пароль сможешь? А где пароль взять рассказать или сам догадаешься?

Ну, ёпта... Не все же такие безруко-безголовые...

> а вот для IPSec никаким образом не получить? Что за бред ты тут пишешь?

Слыш, тыб приличия ради, скачал бы штоль VPN-клиент, да глянул бы что там за "ключик". Окромя пароля. То же самое, что в pptp для вянды делается на вкладке "Безопасность", "Дополнительные (выборочные) параметры", кнопка "Параметры" и там указать "Смарт-карта или сертификат" и, далее, импортировать сертификат. Вот только херня-то в чём... ты в своих постингах ни разу об это не упомянул... Гонево за какие-то "элементарные вещи" я видел. По делу -- голяк.

Всё. Ладно. Что я хотел сказать -- сказал. Со своей стороны базар закончил. DIXI. :)))

anonymous ()

20 советов по безопасному использованию сервера OpenSSH

>далее, импортировать сертификат

Можно же еще и экспортировать, да? Ну ты понял.

>ПИШУ ЧИСТО ИЗДЁВКИ РАДИ.

Читать что пишут не умеем, да? Стоят настройки для рртр соединения в венде. Пароль вводится каждый раз. Давай, ёпта, расскажи, как ты без сторонних программ получишь пароль для впн. А если ставить сторонние проги, то монописуально куда ты вводишь пароль - в прогу для впн соединения или супер-пупер секьюрный банк.

Лучше иди сразу стукнись об стену, и не пиши сюда больше. За умного может сойдешь.

Mr_Alone ★★★★★ ()

Re: 20 советов по безопасному использованию сервера OpenSSH

Буууууууууууууууууу-га-га... Хакер-теоретик... =))))))))))))))))))))))

> Стоят настройки для рртр соединения в венде. Пароль вводится каждый раз.

Как странно сделано... =))))) Нет галки "сохранить пароль" (или как там оно пишется -- открой, да посмотри), нет возможности выставить "использовать соединение" для _любого_ пользователя в системе... Б?я, братан, да ты чё тут вещаешь-то?!? Ты сам-то хоть видел о чём пишешь?

Давай, я те радости ещё подкину... Чё, служба RAS уже перестала поднимать соединения сконфигурированные "для любого пользователя" в системе? Или ты _обяжешь_ кого-то забить на автоматизацию входа в вяндовый стандартный VPN и принудительно вводить всё вручную? Или манагеры, сидящие на домашних компах работают от "простого пользователя", а не от учётки админа локального компа? Правда? Да тя так далече пошлют, что отсюда и не видно... =)))

Правильно по _официальной_ информации (а сколько по неофицальной?) -> http://www.securitylab.ru/news/386694.php

> Порядка 15 тысяч преступлений в сфере компьютерной информации ежегодно регистрируется на территории России, сообщил глава МВД РФ Рашид Нургалиев.

> "Анализ статистических данных о преступлениях в сфере компьютерной информации показывает, что в России, начиная с 2000-х годов, наблюдалось ежегодное удвоение числа зарегистрированных преступлений: 2001год - 3 тысячи, 2002 год - 6 тысяч, 2003 год - 12 тысяч, а с 2004 года МВД ежегодно регистрирует порядка 15 тысяч таких преступлений", - отмечает Нургалиев в статье, опубликованной в Российской газете.

> При этом глава МВД отметил, что большая часть ИТ-преступлений совершается с использованием вредоносных компьютерных программ, а также специфических возможностей операционных систем, позволяющих получать удаленный доступ к информационным ресурсам пользователей.

А дальше сам читай... Вас не "лечить", вас "мочить" надо. Так, чтоб уе?аны просто не имели шансов на размножение. Генофонд чище будет...

> Лучше иди сразу стукнись об стену, и не пиши сюда больше. За умного может сойдешь.

Слыш, хакер-теоретик, тыб не говорил мне что мне делать. И я те обещаю что не скажу куда тебе идти. Ага?

Впрочем, мне и так на фуфло уже надоело время тратить. Если честно.

anonymous ()

20 советов по безопасному использованию сервера OpenSSH

>Нет галки "сохранить пароль" (или как там оно пишется -- открой, да посмотри), нет возможности выставить "использовать соединение" для _любого_ пользователя в системе...

Сюрпрайз! Манагеры вводят каждый раз пароль, и на компьютерах их учетки от обычного пользователя. Причем учетки в домене, со всеми политиками. Ну ты поэл. Если у тебя все работают от админа, то дальше можно не продолжать. Это ты у нас теоретик.

>Всё. Ладно. Что я хотел сказать -- сказал. Со своей стороны базар закончил. DIXI. :)))

Шо, гопота-быдлота, даже за слова не отвечаешь, да? :-)

Mr_Alone ★★★★★ ()

Re: 20 советов по безопасному использованию сервера OpenSSH

> Причем учетки в домене, со всеми политиками. Ну ты поэл.

Гы-гы-гы... =))))))))))) Домен со всеми политиками на домашней машине манагера, подключаемой по VPN? Да... Пестец... =)))))

У тя, бычок, доменные политики будут. Но только _после_ того, как ты в домене будешь авторизирован. До того, твои "доменные политики" как зайцу триппер.

А теперь ты предлагаешь с подломленной машины лезть в домен? Да Вы, батенька, содомит! =)))) Ибо Вы тем самым открываете доступ напрямую ко ВСЕМ ресурсам, к которым у рассматриваемого манагера есть доступ на основании доменных политик! Браво! Так и надо! =))))))))))))))))))

Особенно, если ты сгоряча да не подумав, реализовал авторизацию в домене на RADIUS, впрочем, для этого ты, по-моему, слишком туп.

> Шо, гопота-быдлота, даже за слова не отвечаешь, да? :-)

Ну поглянь-ка... Сменил "чо" на "шо"... =)))))))) Да мне поржать чисто...

Слыш, говоришь, у тя пальцы не гнутся деньги за циску отстегнуть? А как быть с коммутаторами да роутерами? За них же денег надо платить... Ты возьми машинку, набей в неё сетевых карточек, роутинг сконфигури, tc побалуйся, авось и маршрутизатор и коммутатор изваяешь...

Или, положим, xDSL... На фиг оно тебе? На складе мопеды возьми, так же на машинку и вот те "удалённый доступ". Можно почти так же и wi-fi точку доступа изваять... =)))))))))))))

А чё, делать-то тебе один пень не фиг... Судя по тому вещанию, что ты тут издаёшь, а так и бабла сэкономишь, да и скилл "одминко" прокачаешь... =))))

anonymous ()

20 советов по безопасному использованию сервера OpenSSH

Анонимус такой анонимус. Ты ведь кроме теории ничего не знаешь, правда? И циску на картинках видел? А про домен слышал, но не знаешь как он работает, правда же? Хотя да... 90% и выше нагрузка на серверах, юзеры под учеткой админа сидят... Удачи!

Mr_Alone ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.