Почетак › Форуми › Линукс › Линукс умрежавање › Linux -> FreeBSD?
- This topic has 72 одговора, 9 гласова, and was last updated 16 years, 7 months раније by foxbunny.
-
АуторЧланци
-
7. мај 2008. у 8:45 pm #69814NightweaverУчесник
Heh.. OpenBSD moze da bude odlican server zaista. Ipak, ja biram FreeBSD za te potrebe.. ipak je pravljen za taj posao – The power to Server.:)
7. мај 2008. у 11:13 pm #69815foxbunnyУчесникNight, evo citao sam nesto na ArchWikiju davno, pa se setih bas sad. Lik prica o tome kako je gomila likova pokusavalo da provali na njegov sistem preko ssha. I sad, naravno, niko nije uspeo, ali mu je log bio veoma dugacak. I lik resi da ih se otarasi. I napravi sistem koji ukljucuje port knocking. Tipa, kucnem na port 2677 pet puta u razmacima od po 5 sekundi (sad “kucam” napamet, posto me mrzi da proverim) i onda se otvori, recimo, port 2946 koji prima ssh konekciju narednih 60 sekundi, pa se zatvori ako nema konekcije.
Je l’ to ok resenje? Hteo bih i to da probam kad budem postavljao ssh. Ujedno nameravam da to uradim i za VPS kad ga budem zakupio jednog lepog dana.
EDIT: Um, mislim da sam bas strasno lupio to za vremenski razmak. Cini mi se da je u pitanju bilo zapravo kucanje na dva razlicita porta ili tako nesto…
8. мај 2008. у 1:09 am #69816soxxxУчесникIma dosta resenja ako hoces da zastitis svoje ssh konekcije, evo samo neke od njih:
http://www.bsd-srbija.org/dokumentacija/doku.php/odbrana_od_ssh_brute_force_napada_-_primeri
Evo sta misle OpenBSD momci o portknocking i alternativama:
http://undeadly.org/cgi?action=search&mode=&thres=&query=port+knocking
(izvinjavam se, tema je vezana za FreeBSD ali posto se radi o OpenSSH i/ili PF onda vazi i ovo ;))
8. мај 2008. у 7:21 am #69817NightweaverУчесникSoxxx je sve rekao.;)
@Soxxx
Kakav je bre to Linux tu? Ccc… moracemo mi ozbiljno da popricamo.:P :biggrin:8. мај 2008. у 8:25 am #69818foxbunnyУчесникPa stvarno, soxxx. Kako ja da pristupim sa svog laptopa ako blokiram Linux masine? 😀
EDIT:
Ok, ako sam dobro skapirao, port knocking nije bas ni najpopularnija tehnika? Meni se ucinilo kao da je veoma efektivno… Sto se tice opste bezbednosti SSH portova, da li ima ikakve prednosti u odnosu na recimo zabranu pristupa ljudima koji pokusaju da naprave 5 konekcija za 40 sekundi?
EDIT2:
I to filtriranje ljudi koji prave vise konekcija za kratko vreme… Recimo da neko sam mog ISPa, koji ima neku IP adresu (dinamicku) bude blacklisted. I kasnije meni zapadne ista IP adresa (mada kapiram da nisu bas velike sanse za to, ali ono, tehnicki je moguce, ne?). To znaci da u tom momentu necu moci da pristupim ni ja, ne?
8. мај 2008. у 9:46 am #69819NightweaverУчесникDa ne bi gubio vreme i lupao mozak kako koga da otkacis tj. stavis na crnu listu za OpenSSH lepo stavi da ti SSH server slusa na nekom nestandardnom portu – meni su uvek to portovi preko 7000. Zatim, koristi lepo RSA kljuc umesto standardnog logovanja. Lepo uzmes zabranis uopste mogucnost da se ukuca sifra bez sertifikata. I resis sve probleme. Ako neko nema kljuc nece moci ni da prismrdi serveru vec ce konstantno biti odbijan. A da stvar dodatno zastitis, napravis nekog korisnika totalno sumanutog imena – recimo blabla. Njega podesis kao jedinog koji moze da udje na SSH. Zatim na to dodas sertifikat kao jedini nacin da se pristupi sistemu. Potencijalni napadac ce prvo morati da provali koji korisnik uopste moze da se uloguje sto je, moraces priznati, zadatak za hrabre. A onda nece imati sertifikat. I zavrsis posao. Ajd videcu da napisem na svom blogu jedan howto za ovo.;)
8. мај 2008. у 10:26 am #69820foxbunnyУчесникDa ne bi gubio vreme i lupao mozak kako koga da otkacis tj. stavis na crnu listu za OpenSSH lepo stavi da ti SSH server slusa na nekom nestandardnom portu – meni su uvek to portovi preko 7000. Zatim, koristi lepo RSA kljuc umesto standardnog logovanja. Lepo uzmes zabranis uopste mogucnost da se ukuca sifra bez sertifikata. I resis sve probleme. Ako neko nema kljuc nece moci ni da prismrdi serveru vec ce konstantno biti odbijan. A da stvar dodatno zastitis, napravis nekog korisnika totalno sumanutog imena – recimo blabla. Njega podesis kao jedinog koji moze da udje na SSH. Zatim na to dodas sertifikat kao jedini nacin da se pristupi sistemu. Potencijalni napadac ce prvo morati da provali koji korisnik uopste moze da se uloguje sto je, moraces priznati, zadatak za hrabre. A onda nece imati sertifikat. I zavrsis posao. Ajd videcu da napisem na svom blogu jedan howto za ovo.;)
Extra. 😀
8. мај 2008. у 11:30 am #69821NightweaverУчесникIzvol’te: http://rehash.eccegeek.info/ 🙂
8. мај 2008. у 11:44 am #69822foxbunnyУчесникIzvol’te: http://rehash.eccegeek.info/ 🙂
Vec?! 😮 E, car si! O0
8. мај 2008. у 11:49 am #69823marelliУчесникNe mogu da procitam ceo text .
-
АуторЧланци
Мораш бити пријављен да би поставио коментар у овој теми.