|
Nightweaver
|
 |
« Odgovor #30 poslato: 07 Мај 2008, 21:45:36 » |
|
Heh.. OpenBSD moze da bude odlican server zaista. Ipak, ja biram FreeBSD za te potrebe.. ipak je pravljen za taj posao - The power to Server.  |
|
|
|
|
foxbunny
|
|
« Odgovor #31 poslato: 08 Мај 2008, 00:13:54 » |
|
Night, evo citao sam nesto na ArchWikiju davno, pa se setih bas sad. Lik prica o tome kako je gomila likova pokusavalo da provali na njegov sistem preko ssha. I sad, naravno, niko nije uspeo, ali mu je log bio veoma dugacak. I lik resi da ih se otarasi. I napravi sistem koji ukljucuje port knocking. Tipa, kucnem na port 2677 pet puta u razmacima od po 5 sekundi (sad "kucam" napamet, posto me mrzi da proverim) i onda se otvori, recimo, port 2946 koji prima ssh konekciju narednih 60 sekundi, pa se zatvori ako nema konekcije.
Je l' to ok resenje? Hteo bih i to da probam kad budem postavljao ssh. Ujedno nameravam da to uradim i za VPS kad ga budem zakupio jednog lepog dana.
EDIT: Um, mislim da sam bas strasno lupio to za vremenski razmak. Cini mi se da je u pitanju bilo zapravo kucanje na dva razlicita porta ili tako nesto...
|
|
|
|
« Poslednja izmena: 08 Мај 2008, 00:17:35 od foxbunny »
|
Prijavi uredniku
Sačuvana
|
|
|
|
|
|
|
Nightweaver
|
|
« Odgovor #33 poslato: 08 Мај 2008, 08:21:48 » |
|
Soxxx je sve rekao.  @Soxxx Kakav je bre to Linux tu? Ccc... moracemo mi ozbiljno da popricamo.   |
|
|
|
|
foxbunny
|
|
« Odgovor #34 poslato: 08 Мај 2008, 09:25:42 » |
|
Pa stvarno, soxxx. Kako ja da pristupim sa svog laptopa ako blokiram Linux masine?  EDIT: Ok, ako sam dobro skapirao, port knocking nije bas ni najpopularnija tehnika? Meni se ucinilo kao da je veoma efektivno... Sto se tice opste bezbednosti SSH portova, da li ima ikakve prednosti u odnosu na recimo zabranu pristupa ljudima koji pokusaju da naprave 5 konekcija za 40 sekundi? EDIT2: I to filtriranje ljudi koji prave vise konekcija za kratko vreme... Recimo da neko sam mog ISPa, koji ima neku IP adresu (dinamicku) bude blacklisted. I kasnije meni zapadne ista IP adresa (mada kapiram da nisu bas velike sanse za to, ali ono, tehnicki je moguce, ne?). To znaci da u tom momentu necu moci da pristupim ni ja, ne? |
|
|
|
« Poslednja izmena: 08 Мај 2008, 09:30:34 od foxbunny »
|
Prijavi uredniku
Sačuvana
|
|
|
|
|
Nightweaver
|
|
« Odgovor #35 poslato: 08 Мај 2008, 10:46:52 » |
|
Da ne bi gubio vreme i lupao mozak kako koga da otkacis tj. stavis na crnu listu za OpenSSH lepo stavi da ti SSH server slusa na nekom nestandardnom portu - meni su uvek to portovi preko 7000. Zatim, koristi lepo RSA kljuc umesto standardnog logovanja. Lepo uzmes zabranis uopste mogucnost da se ukuca sifra bez sertifikata. I resis sve probleme. Ako neko nema kljuc nece moci ni da prismrdi serveru vec ce konstantno biti odbijan. A da stvar dodatno zastitis, napravis nekog korisnika totalno sumanutog imena - recimo blabla. Njega podesis kao jedinog koji moze da udje na SSH. Zatim na to dodas sertifikat kao jedini nacin da se pristupi sistemu. Potencijalni napadac ce prvo morati da provali koji korisnik uopste moze da se uloguje sto je, moraces priznati, zadatak za hrabre. A onda nece imati sertifikat. I zavrsis posao. Ajd videcu da napisem na svom blogu jedan howto za ovo. |
|
|
|
|
foxbunny
|
|
« Odgovor #36 poslato: 08 Мај 2008, 11:26:46 » |
|
Da ne bi gubio vreme i lupao mozak kako koga da otkacis tj. stavis na crnu listu za OpenSSH lepo stavi da ti SSH server slusa na nekom nestandardnom portu - meni su uvek to portovi preko 7000. Zatim, koristi lepo RSA kljuc umesto standardnog logovanja. Lepo uzmes zabranis uopste mogucnost da se ukuca sifra bez sertifikata. I resis sve probleme. Ako neko nema kljuc nece moci ni da prismrdi serveru vec ce konstantno biti odbijan. A da stvar dodatno zastitis, napravis nekog korisnika totalno sumanutog imena - recimo blabla. Njega podesis kao jedinog koji moze da udje na SSH. Zatim na to dodas sertifikat kao jedini nacin da se pristupi sistemu. Potencijalni napadac ce prvo morati da provali koji korisnik uopste moze da se uloguje sto je, moraces priznati, zadatak za hrabre. A onda nece imati sertifikat. I zavrsis posao. Ajd videcu da napisem na svom blogu jedan howto za ovo. Extra. |
|
|
|
|
Nightweaver
|
|
« Odgovor #37 poslato: 08 Мај 2008, 12:30:40 » |
|
|
|
|
|
|
foxbunny
|
|
« Odgovor #38 poslato: 08 Мај 2008, 12:44:36 » |
|
Vec?!  E, car si!  |
|
|
|
marelli
Volumass
Hero Member
 Van mreže
Pol: 
Poruke: 1282
_Shake_The_Universe_
|
|
« Odgovor #39 poslato: 08 Мај 2008, 12:49:21 » |
|
Ne mogu da procitam ceo text .
|
|
|
|
|
Nightweaver
|
|
« Odgovor #40 poslato: 08 Мај 2008, 12:50:30 » |
|
Pa mene samo mrzi da kucam uputstva... kada bi neko isao pored mene i zapisivao sve ludorije koje radim na mrezi sa BSD/Cisco/Solaris/GNU/Linux sistemima mogli bismo lepe pare da zaradimo stancujuci knjige na srpskom. Ako sam u tom tekstu nesto odvalio samo recite. Posto sam na poslu, danas je miran dan pa sam skucao to u jednom cugu. Moguce je da se potkrala koja greska. Edit: marelli: kako ne mozes? edit 2: Ah, mea culpa... tren. |
|
|
|
|
Nightweaver
|
|
« Odgovor #41 poslato: 08 Мај 2008, 12:57:30 » |
|
Sad bi trebalo da je sve OK. |
|
|
|
marelli
Volumass
Hero Member
Van mreže
Pol:
Poruke: 1282
_Shake_The_Universe_
|
|
« Odgovor #42 poslato: 08 Мај 2008, 12:58:53 » |
|
Extra ,radi ... ! |
|
|
|
|
foxbunny
|
|
« Odgovor #43 poslato: 08 Мај 2008, 14:10:37 » |
|
E, mnogi pitaju cesto. U cemu je razlika izmedju PermitRootLogin no i DenyUsers root ? @marelli Zar si sumnjao? |
|
|
|
|
Nightweaver
|
|
« Odgovor #44 poslato: 08 Мај 2008, 15:40:17 » |
|
PermitRoot se ocigledno odnosi samo na root korisnika. Ako ti je samo ovo stavljeno na "no" onda ce svaki korisnik moci da udje preko SSH-a. DenyUsers je, sa druge strane, niz korisnika koji nemaju pristup. Ucinak je, ocigledno isti. Ja volim da koristim PermitRoot i AllowUsers. Ovo drugo podrazumeva da niko sem ljudi u nizu nece moci da se uloguje. A to je, slozices se, mnogo prakticnije nego da rucno stavljam svakog ko ne moze da se uloguje. Opet, DenyUsers ima smisla ako imas jasnu predstavu koga neces pustati na sistem. Sve je stvari plana u glavi admina. |
|
|
|
|
