Početak›Forumi›Linuks›Linuks umrežavanje›Linux -> FreeBSD?
- This topic has 72 odgovora, 9 glasova, and was last updated 15 years, 10 months ranije by foxbunny.
-
AutorČlanci
-
7. maj 2008. u 8:45 pm #69814NightweaverUčesnik
Heh.. OpenBSD moze da bude odlican server zaista. Ipak, ja biram FreeBSD za te potrebe.. ipak je pravljen za taj posao – The power to Server.:)
7. maj 2008. u 11:13 pm #69815foxbunnyUčesnikNight, evo citao sam nesto na ArchWikiju davno, pa se setih bas sad. Lik prica o tome kako je gomila likova pokusavalo da provali na njegov sistem preko ssha. I sad, naravno, niko nije uspeo, ali mu je log bio veoma dugacak. I lik resi da ih se otarasi. I napravi sistem koji ukljucuje port knocking. Tipa, kucnem na port 2677 pet puta u razmacima od po 5 sekundi (sad “kucam” napamet, posto me mrzi da proverim) i onda se otvori, recimo, port 2946 koji prima ssh konekciju narednih 60 sekundi, pa se zatvori ako nema konekcije.
Je l’ to ok resenje? Hteo bih i to da probam kad budem postavljao ssh. Ujedno nameravam da to uradim i za VPS kad ga budem zakupio jednog lepog dana.
EDIT: Um, mislim da sam bas strasno lupio to za vremenski razmak. Cini mi se da je u pitanju bilo zapravo kucanje na dva razlicita porta ili tako nesto…
8. maj 2008. u 1:09 am #69816soxxxUčesnikIma dosta resenja ako hoces da zastitis svoje ssh konekcije, evo samo neke od njih:
http://www.bsd-srbija.org/dokumentacija/doku.php/odbrana_od_ssh_brute_force_napada_-_primeri
Evo sta misle OpenBSD momci o portknocking i alternativama:
http://undeadly.org/cgi?action=search&mode=&thres=&query=port+knocking
(izvinjavam se, tema je vezana za FreeBSD ali posto se radi o OpenSSH i/ili PF onda vazi i ovo ;))
8. maj 2008. u 7:21 am #69817NightweaverUčesnikSoxxx je sve rekao.;)
@Soxxx
Kakav je bre to Linux tu? Ccc… moracemo mi ozbiljno da popricamo.:P :biggrin:8. maj 2008. u 8:25 am #69818foxbunnyUčesnikPa stvarno, soxxx. Kako ja da pristupim sa svog laptopa ako blokiram Linux masine? 😀
EDIT:
Ok, ako sam dobro skapirao, port knocking nije bas ni najpopularnija tehnika? Meni se ucinilo kao da je veoma efektivno… Sto se tice opste bezbednosti SSH portova, da li ima ikakve prednosti u odnosu na recimo zabranu pristupa ljudima koji pokusaju da naprave 5 konekcija za 40 sekundi?
EDIT2:
I to filtriranje ljudi koji prave vise konekcija za kratko vreme… Recimo da neko sam mog ISPa, koji ima neku IP adresu (dinamicku) bude blacklisted. I kasnije meni zapadne ista IP adresa (mada kapiram da nisu bas velike sanse za to, ali ono, tehnicki je moguce, ne?). To znaci da u tom momentu necu moci da pristupim ni ja, ne?
8. maj 2008. u 9:46 am #69819NightweaverUčesnikDa ne bi gubio vreme i lupao mozak kako koga da otkacis tj. stavis na crnu listu za OpenSSH lepo stavi da ti SSH server slusa na nekom nestandardnom portu – meni su uvek to portovi preko 7000. Zatim, koristi lepo RSA kljuc umesto standardnog logovanja. Lepo uzmes zabranis uopste mogucnost da se ukuca sifra bez sertifikata. I resis sve probleme. Ako neko nema kljuc nece moci ni da prismrdi serveru vec ce konstantno biti odbijan. A da stvar dodatno zastitis, napravis nekog korisnika totalno sumanutog imena – recimo blabla. Njega podesis kao jedinog koji moze da udje na SSH. Zatim na to dodas sertifikat kao jedini nacin da se pristupi sistemu. Potencijalni napadac ce prvo morati da provali koji korisnik uopste moze da se uloguje sto je, moraces priznati, zadatak za hrabre. A onda nece imati sertifikat. I zavrsis posao. Ajd videcu da napisem na svom blogu jedan howto za ovo.;)
8. maj 2008. u 10:26 am #69820foxbunnyUčesnikDa ne bi gubio vreme i lupao mozak kako koga da otkacis tj. stavis na crnu listu za OpenSSH lepo stavi da ti SSH server slusa na nekom nestandardnom portu – meni su uvek to portovi preko 7000. Zatim, koristi lepo RSA kljuc umesto standardnog logovanja. Lepo uzmes zabranis uopste mogucnost da se ukuca sifra bez sertifikata. I resis sve probleme. Ako neko nema kljuc nece moci ni da prismrdi serveru vec ce konstantno biti odbijan. A da stvar dodatno zastitis, napravis nekog korisnika totalno sumanutog imena – recimo blabla. Njega podesis kao jedinog koji moze da udje na SSH. Zatim na to dodas sertifikat kao jedini nacin da se pristupi sistemu. Potencijalni napadac ce prvo morati da provali koji korisnik uopste moze da se uloguje sto je, moraces priznati, zadatak za hrabre. A onda nece imati sertifikat. I zavrsis posao. Ajd videcu da napisem na svom blogu jedan howto za ovo.;)
Extra. 😀
8. maj 2008. u 11:30 am #69821NightweaverUčesnikIzvol’te: http://rehash.eccegeek.info/ 🙂
8. maj 2008. u 11:44 am #69822foxbunnyUčesnikIzvol’te: http://rehash.eccegeek.info/ 🙂
Vec?! 😮 E, car si! O0
8. maj 2008. u 11:49 am #69823marelliUčesnikNe mogu da procitam ceo text .
-
AutorČlanci
Moraš biti prijavljen da bi postavio komentar u ovoj temi.