[ ljubank @ 12.01.2008. 09:34 ] @
kako da iz konzole otvorim u firewall-u port za ssh na suse 10.2 |
[ ljubank @ 12.01.2008. 09:34 ] @
[ Tyler Durden @ 12.01.2008. 14:02 ] @
Ako je FW već podignut onda kucaj
iptables -I INPUT 1 -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT [ Jbyn4e @ 12.01.2008. 20:09 ] @
Ili edituj /etc/sysconfig/SuSEfirewall2, dodaj port 22 iliti ssh (sve je lepo objasnjeno) i poslle restartuj firewall (rcSuSEfirewall2 restart ili kako vec bese...)
P.S. Yast mozes koristiti i iz init 3, ili ssh veze, tj. ne-grafickog moda. [ nemysis @ 28.07.2008. 09:52 ] @
Stara tema ali ipak.
Promeni obavezno default Port 22 na neki viši. /etc/ssh/sshd_config Port xxxxx Normalno promeni to i u svim zaštitnim zidovima. Pa ćeš biti sigurniji. Pozdrava nemysis [ Jbyn4e @ 28.07.2008. 11:14 ] @
Ali ono sto ti nemysis nije rekao je da posle kad se konektujes moras da specificaras taj port (cisto pricam da ne bude posle nece da mi se nakaci ssh-om), npr
# ssh user@naziv_hosta -p broj_porta [ igor.vitorac @ 30.07.2008. 21:29 ] @
Citat: Licno smatram da je ovo klasican primer "security through obscurity". Ako neko nema poverenja u ssh, neka koristi neko drugo VPN resenje. [ neur0 @ 31.07.2008. 11:59 ] @
Ne mislim da je ovde rec o poverenju u SSH, nego se radi o izbegavanju mnogobrojnih brute force napada koji daleko cesce nisane na port 22. Promenom porta se donekle ostaje ispod radara vecine script-kiddies ciji botovi bi rado isprobali neke sifre na tom portu. Polise za stavljanje IP adresa na black listu nisu toliko efikasne jer botovi automatski pamte sta su gde probali, pa "kucaju" na port 22 samo povremeno da ne izazovu sumnju. Cak i ako se iskljucivo koriste javni kljucevi umesto klasicnih sifri, ne znam zasto bi dozvoljavao botovima da ti gnjave masinu, ako to ne moras.
[ nemysis @ 02.08.2008. 20:46 ] @
Otkako sam stavio za SSH veći port i ovako podesio
/etc/ssh/sshd_config #Lična podešavanja Port xxxxx AddressFamily inet Protocol 2 # PubKey je najsigurnija prijava # http://blog.thomas-falkner.de/2007/09/25/ssh-absichern/ PubKeyAuthentication yes RSAAuthentication yes RhostsRSAAuthentication no HostbasedAuthentication no KerberosAuthentication no GSSAPIAuthentication no AuthorizedKeysFile %h/.ssh/authorized_keys # Isključiti samo ako su razmenjeni ključevi, opasno, bolje ne koristiti!!! #PasswordAuthentication no #UsePAM no PasswordAuthentication yes PermitRootLogin no DenyUsers root admin guest test user info bin daemon adm lp sync shutdown halt mail news uucp operator games ftp smmsp mysql rpc sshd nobody apache www wwwrun httpd irc ( i svi ostali realni korisnici na sistemu) AllowUsers neki_prividni_korisnik # Samo brojčane adrese rade ovde! # [email protected] [email protected] # [email protected] DenyGroups root daemon sys adm disk floppy dialout tape video bin lp mem kmem tty floppy mail news uucp man games slocate utmp smmsp mysql rpc sshd shadow ftp nogroup console xcdwriter # users # ova grupa mora biti nezabranjena AllowGroups nekog_prividnog_korisnika # users wheel LoginGraceTime 2m StrictModes yes MaxAuthTries 6 # http://gentoo-wiki.com/TIP_SSH_Reverse_Tunnel # TCPKeepAlive koristi protokol koji curi TCPKeepAlive no ClientAliveInterval 30 ClientAliveCountMax 99999 Normalno i /etc/rc.firewall podesio na taj Port Dakle kako Jbyn4e pre napisa ssh -p xxxxx [email protected] i kopiranje preko SSH scp -P xxxxx "/negde/fajla.tar.bz2" [email protected]:/negde/ Pozdrav nemysis Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|