Процесс перехода вуза на ПО Basealt

[OlegBB]

Тут еще одна идея почти нашла свое воплощение на фоне дистанционной работы.
Речь об удаленном доступе из дома к документам на рабочем сервере.
Я понимаю, что решений на эту тему сотни, но я пытаюсь реализовать максимально достаточно безопасный.
Итак:
1. На работе стоит ноутбук с линуксом, где подключены сетевые общие папки от WinServer.
2. Файрвол на работе с фиксированным белым ip делает проброс с нескольких заранее указанных домашних ip-адресов во внутрь сети к ноутбуку п.1.
3. Дома другой/ие ноутбуки с линуксом, которые подключаются к ноутбуку п.1 по ssh-ключу.
4. Через sshfs ресурсы рабочего сервера (из п.1) подключаются к файловой системе домашнего ноутбука.
5. Доступ по ssh без ключа отключен (пока включен для отладки).

Как вам такой механизм? Достаточно секьюрно?

P.S. Стоит ли отказаться от указания домашних ip, т.к. они меняются провайдерами через несколько дней и приходится их перенастраивать на файрволе? Но тогда я буду открыт ВСЕМУ ИНТЕРНЕТУ...

[yaleks]

Если использовать авторизацию по ключам, а не паролю и настроить fail2ban , то ssh достаточно безопасен.

[тугодум]

P.S. Стоит ли отказаться от указания домашних ip, т.к. они меняются провайдерами

надо их правильно готовить..

  1. блок IP адресов вашего провайдера вам сообщят nslookup и whois.
пример: nslookup forum.altlinux.ru
выдаст: Address: 194.107.17.160

 затем: whois 194.107.17.160
выдаст: inetnum: 194.107.17.0 - 194.107.17.255

  2. распределение всех блоков IP России вам сообщит RIPE.
база IP по ссылке: ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-extended-latest
 кстати, whois ищет российские IP по базам RIPE.

тема IP уже обсуждалась:
https://forum.altlinux.org/index.php?topic=40608.msg320848#msg320848

[rits]

Речь об удаленном доступе из дома к документам на рабочем сервере.

Чем плох OpenVPN? Раздал ключи клиентам и на сервере VPN завернул их трафик на свой один ноут. И безопасно и практично.

[OlegBB]

Чем плох OpenVPN?

Спасибо за идею. Буду разбираться.

Сегодня передал первые 2 ноутбука сотрудникам для работы из дома ( + тестирование в боевых условиях).
Хотя не смог  sshfs настроить (на Р8 работает, а на Р9 то же самое не идет...), но и без него все работает через МиднайтКоммандер (Shell соединение).
ssh-доступ по паролю отключил (только сертификаты), а вот с ip-адресами не стал ничего мудрить - открыл доступ с любых. Понимаю, что это не очень секьюрно, зато работать будет всегда.
Надеюсь, что крупным "числогрызам" наш вуз не интересен.

[yaleks]

Надеюсь, что крупным "числогрызам" наш вуз не интересен.

вы в логи посмотрите и удивитесь 

[OlegBB]

вы в логи посмотрите и удивитесь 

Ужос! 
Лезут постоянно под рутом по всем портам.

[yaleks]

вы в логи посмотрите и удивитесь 

Ужос! 
Лезут постоянно под рутом по всем портам.

вот потому fail2ban и нужен, чтобы притормозить эту вакханалию.

[asy]

вот потому fail2ban и нужен, чтобы притормозить эту вакханалию.

Альтернативный вариант:

Код: [Выделить]

-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROPСтрока с LOG - это если интересно.

[тугодум]

... зато работать будет всегда.

 3. как часто меняются блоки IP?

вышеупомянутая тема была открыта в декабре 2017 года.

как видно из первого сообщения блок IP "ripencc|RU|ipv4|194.107.17.0|256" содежащий forum.altlinux.ru - не изменился.

там же лежит срез всех блоков IP России на тот момент времени. Основная масса их - не изменилась.

[OlegBB]

3. как часто меняются блоки IP?

У меня дома 3-5 дней держится ip, а потом меняется. Приходится на работу идти и ручками править файрвол...

[тугодум]

идея: указывать файрволу не конкретный IP адрес
  а блок IP адресов.

 Например: правило iptables
 ...   --destination 194.107.17.160 ...
 можно заменить на   
 ...   --destination 194.107.17.0/24 ...
                или (это одно и тоже)
 ...   --destination 194.107.17.0/255.255.255.0 ...

 здесь файрволу указан блок из 256 IP адресов, начиная с 194.107.17.0

[OlegBB]

Идея с доступом с файлам на сервере по ssh, хотя и была достаточно рабочей, не прижилась... Большинство сотрудников на флешке свои данные утащили домой для работы, и в облаке что-то хранят для коллективной работы.
А еще, пришлось несколько выданных сотрудникам ноутбуков забирать обратно и выставлять их по аудиториям, откуда планируется проводить дистанционные практические занятия через видеоконференции (для тех преподавателей, у которых дома нет такой возможности).
В качестве видео-платформы используется ZOOM (большое спасибо форуму за подсказки по его установке).

[andrew_b]

ZOOM

Дырища, конечно, знатная.

[yaleks]

В качестве видео-платформы используется ZOOM (большое спасибо форуму за подсказки по его установке).

А https://meet.jit.si/ слишком сложно?