Автор Тема: ssh удалённый доступ к системе. Общие вопросы  (Прочитано 14717 раз)

Оффлайн kroxa90

  • Завсегдатай
  • *
  • Сообщений: 101
Как дать доступ, чтоб можно было подключаться:
ssh root@comp

Задолбала эта псевдо-безопасность.
« Последнее редактирование: 04.11.2011 20:02:43 от МИНЗДРАВ »
Не пользую google по религиозным причинам.
Не ставлю man из экономии места. Пришла сюда за ответами. А свои RTFM кушайте сами. Или помалкивайте.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 903
    • Домашняя страница
    • Email
Re: root в ssh ?
« Ответ #1 : 02.04.2009 11:28:00 »
Как дать доступ, чтоб можно было подключаться:
ssh root@comp

Задолбала эта псевдо-безопасность.
Просто загрузить на сервер открытую часть SSH-ключа. По почему вы говорите о псевдо-безопасности? Вы специалист по безопасности?
Андрей Черепанов (cas@)

Drool

  • Гость
Re: root в ssh ?
« Ответ #2 : 02.04.2009 13:19:09 »
По почему вы говорите о псевдо-безопасности? Вы специалист по безопасности?

Нет, просто у него все пароли не поддаются социальному инжинирингу и брутфорсу на 100%. Ну и - привык человек под рутом постоянно сидеть, что тут поделаешь.

AlexSid

  • Гость
Re: root в ssh ?
« Ответ #3 : 02.04.2009 14:48:57 »
Как дать доступ, чтоб можно было подключаться:
ssh root@comp
PermitRootLogin в /etc/openssh/sshd_config

P.S.: И кстати зря вы так....
У меня дома 2 компа "в локалке", за роутером.
спрашивается - зачем там запрещать рута по ssh?
« Последнее редактирование: 02.04.2009 14:52:14 от AlexSid »

Оффлайн kroxa90

  • Завсегдатай
  • *
  • Сообщений: 101
Re: root в ssh ?
« Ответ #4 : 03.04.2009 11:27:08 »
PermitRootLogin в /etc/openssh/sshd_config
Огромное спасибо.
Просто и без флуда.
А то ведь у нас гуру жгут как обычно.
PermitRootLogin No #Не пускать рута
PermitRootLogin Yes #Запускать рута по паролю
PermitRootLogin without-password # Пускать рута без пароля (смело, но глупо)
PermitRootLogin forced-commands-only # Доступ руту по ключу только для исполнения команды
Подробнее http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config&sektion=5

Skull, да я специалист по безопасности.

Drool, да мои(её) пароли не поддаются соц. инжинирингу и брутфорсу, а так-же терморектальному криптоанализу.
« Последнее редактирование: 03.04.2009 11:52:35 от kroxa90 »
Не пользую google по религиозным причинам.
Не ставлю man из экономии места. Пришла сюда за ответами. А свои RTFM кушайте сами. Или помалкивайте.

Оффлайн klim888

  • Начинающий
  • *
  • Сообщений: 14
    • Альпклуб МЭИ
    • Email
про настройку sshd
« Ответ #5 : 16.09.2009 14:27:27 »
Здрасти, как уговорить sshd дисконектить клиента после первого или второго неверного пароля и как можно увеличить время перед началом ввода логина или пароля, а то в логах "подберальщики" всё заполонили.

AlexSid

  • Гость
Re: про настройку sshd
« Ответ #6 : 16.09.2009 14:29:42 »
Да, вот то-же интересует.....

Оффлайн dk

  • alt linux team
  • ***
  • Сообщений: 988
    • Email
Re: про настройку sshd
« Ответ #7 : 16.09.2009 14:38:37 »
Лучший способ бороться с подбиральщиками паролей - перенести ssh на нестандартный порт.

Оффлайн klim888

  • Начинающий
  • *
  • Сообщений: 14
    • Альпклуб МЭИ
    • Email
Re: про настройку sshd
« Ответ #8 : 16.09.2009 14:46:49 »
Лучший способ бороться с подбиральщиками ..

ну дык, первым делом отправил sshd слушать тьмутаракань, ну и MaxStartups 1 сделал, сейчас рою всякие псевдо шелы, которые под ssh косят, им как раз место на :22 :) всё равно, как то не логично, что нельзя sshd такие, в общем то обычные, параметры задать.

lx001

  • Гость
Re: про настройку sshd
« Ответ #9 : 16.09.2009 17:41:43 »
как уговорить sshd дисконектить клиента после первого или второго неверного пароля и как можно увеличить время перед началом ввода логина или пароля, а то в логах "подберальщики" всё заполонили.

MaxAuthTries 1 #2,3 ...

См. также MaxStartups (man sshd_config)


Оффлайн klim888

  • Начинающий
  • *
  • Сообщений: 14
    • Альпклуб МЭИ
    • Email
Re: про настройку sshd
« Ответ #10 : 16.09.2009 20:09:02 »
MaxAuthTries 0
пасибо, после 1й попытки вылет.

Alexei_VM

  • Гость
Re: про настройку sshd
« Ответ #11 : 16.09.2009 20:18:23 »
Можно еще что-нить типа
iptables -N SSHBRUT
iptables -A SSHBRUT -j LOG --log-level 7 --log-prefix "BRUTFORCE:"
iptables -A SSHBRUT -j REJECT

iptables -N SSHCONNECT
iptables -A SSHCONNECT -j LOG --log-level 7 --log-prefix "SSHINCON:"

iptables -I INPUT -p TCP --dport 22 -i ${WAN} -j ACCEPT
iptables -I INPUT -p TCP --dport 22 -i ${WAN} -m state --state NEW -m recent --set -j SSHCONNECT
iptables -I INPUT -p TCP --dport 22 -i ${WAN} -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j SSHBRUT

добавить.

Оффлайн klim888

  • Начинающий
  • *
  • Сообщений: 14
    • Альпклуб МЭИ
    • Email
Re: про настройку sshd
« Ответ #12 : 16.09.2009 21:45:06 »
Вот ещё вычитал:
"Однако, несмотря на эти программы, минимальное время попыток входа было
примерно 2 секунды из-за искусственной задержки при неудачных попытках, которая
была включена в SSH сервер."
Может кто нибудь знает где такое накрутить можно?

Оффлайн Mikhail

  • Завсегдатай
  • *
  • Сообщений: 201
  • Не уверен - не тренди.
Re: про настройку sshd
« Ответ #13 : 17.09.2009 17:39:21 »
Можно еще что-нить типа
iptables -I INPUT -p TCP --dport 22 -i ${WAN} -j ACCEPT
iptables -I INPUT -p TCP --dport 22 -i ${WAN} -m state --state NEW -m recent --set -j SSHCONNECT
iptables -I INPUT -p TCP --dport 22 -i ${WAN} -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j SSHBRUT
добавить.
Из всего понаписанного будет работать одна строчка только.
Так что все, кроме третьей с низу можно выкинуть.
Подправь до рабочей версии, и я свой пост удалю.
Понравился ответ? Прибавь репутации!

Оффлайн Mikhail

  • Завсегдатай
  • *
  • Сообщений: 201
  • Не уверен - не тренди.
Re: про настройку sshd
« Ответ #14 : 17.09.2009 17:42:30 »
Вот ещё вычитал:
"Однако, несмотря на эти программы, минимальное время попыток входа было
примерно 2 секунды из-за искусственной задержки при неудачных попытках, которая
была включена в SSH сервер."
Может кто нибудь знает где такое накрутить можно?
Можно ограничить кол-во попыток входа за единицу времени, это один модуль, можно через списки, это другой модуль.
Оба модуля описанны в мане.
Понравился ответ? Прибавь репутации!