[ ljubank @ 12.01.2008. 09:34 ] @
kako da iz konzole otvorim u firewall-u port za ssh na suse 10.2






[ Tyler Durden @ 12.01.2008. 14:02 ] @
Ako je FW već podignut onda kucaj

iptables -I INPUT 1 -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT
[ Jbyn4e @ 12.01.2008. 20:09 ] @
Ili edituj /etc/sysconfig/SuSEfirewall2, dodaj port 22 iliti ssh (sve je lepo objasnjeno) i poslle restartuj firewall (rcSuSEfirewall2 restart ili kako vec bese...)

P.S. Yast mozes koristiti i iz init 3, ili ssh veze, tj. ne-grafickog moda.
[ nemysis @ 28.07.2008. 09:52 ] @
Stara tema ali ipak.

Promeni obavezno default Port 22 na neki viši.

/etc/ssh/sshd_config
Port xxxxx

Normalno promeni to i u svim zaštitnim zidovima.

Pa ćeš biti sigurniji.

Pozdrava nemysis
[ Jbyn4e @ 28.07.2008. 11:14 ] @
Ali ono sto ti nemysis nije rekao je da posle kad se konektujes moras da specificaras taj port (cisto pricam da ne bude posle nece da mi se nakaci ssh-om), npr

# ssh [email protected]_hosta -p broj_porta
[ igor.vitorac @ 30.07.2008. 21:29 ] @
Citat:
nemysis:
Promeni obavezno default Port 22 na neki viši.

......

Pa ćeš biti sigurniji.



Licno smatram da je ovo klasican primer "security through obscurity".
Ako neko nema poverenja u ssh, neka koristi neko drugo VPN resenje.
[ neur0 @ 31.07.2008. 11:59 ] @
Ne mislim da je ovde rec o poverenju u SSH, nego se radi o izbegavanju mnogobrojnih brute force napada koji daleko cesce nisane na port 22. Promenom porta se donekle ostaje ispod radara vecine script-kiddies ciji botovi bi rado isprobali neke sifre na tom portu. Polise za stavljanje IP adresa na black listu nisu toliko efikasne jer botovi automatski pamte sta su gde probali, pa "kucaju" na port 22 samo povremeno da ne izazovu sumnju. Cak i ako se iskljucivo koriste javni kljucevi umesto klasicnih sifri, ne znam zasto bi dozvoljavao botovima da ti gnjave masinu, ako to ne moras.
[ nemysis @ 02.08.2008. 20:46 ] @
Otkako sam stavio za SSH veći port i ovako podesio

/etc/ssh/sshd_config

#Lična podešavanja

Port xxxxx

AddressFamily inet

Protocol 2

# PubKey je najsigurnija prijava
# http://blog.thomas-falkner.de/2007/09/25/ssh-absichern/

PubKeyAuthentication yes
RSAAuthentication yes
RhostsRSAAuthentication no
HostbasedAuthentication no
KerberosAuthentication no
GSSAPIAuthentication no
AuthorizedKeysFile %h/.ssh/authorized_keys

# Isključiti samo ako su razmenjeni ključevi, opasno, bolje ne koristiti!!!
#PasswordAuthentication no
#UsePAM no
PasswordAuthentication yes

PermitRootLogin no

DenyUsers root admin guest test user info bin daemon adm lp sync shutdown halt mail news uucp operator games ftp smmsp mysql rpc sshd nobody apache www wwwrun httpd irc ( i svi ostali realni korisnici na sistemu)

AllowUsers neki_prividni_korisnik
# Samo brojčane adrese rade ovde!
# [email protected] [email protected]
# [email protected]

DenyGroups root daemon sys adm disk floppy dialout tape video bin lp mem kmem tty floppy mail news uucp man games slocate utmp smmsp mysql
rpc sshd shadow ftp nogroup console xcdwriter

# users # ova grupa mora biti nezabranjena

AllowGroups nekog_prividnog_korisnika
# users wheel

LoginGraceTime 2m
StrictModes yes
MaxAuthTries 6

# http://gentoo-wiki.com/TIP_SSH_Reverse_Tunnel

# TCPKeepAlive koristi protokol koji curi

TCPKeepAlive no
ClientAliveInterval 30
ClientAliveCountMax 99999

Normalno i

/etc/rc.firewall

podesio na taj Port

Dakle kako Jbyn4e pre napisa

ssh -p xxxxx [email protected]

i kopiranje preko SSH

scp -P xxxxx "/negde/fajla.tar.bz2" [email protected]:/negde/

Pozdrav nemysis