Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Chciałbym pozostawić TYLKO możliwość logowania się z LANu - da się tak zrobić??
Offline
Do czego?
Offline
Możesz iptabelkami zablokować ruch na konkretnych portach dla określonych maków, ipków.
iptables -I FORWARD -s !ip_uprzywilejowane -p tcp --dport początkowy_port:końcowy_port -j DROP
W konfiguracji ssh możesz ustawić nasłuchiwanie tylko na lokalnym interfejsie. Możliwości jest tyle, ilu czytających ten wątek. Określ się dokładnie co chcesz zrobić i jaką masz topologię sieci.
Offline
chodzi mi o to że chcę zablokować możliwość logowania na serwer, ponieważ ktoś ostatnio dostał mi się do serwera i chciał coś namieszać... Chcę móc administrować serwerem TYLKO z LANu a z netu żeby dostępu nie było
Offline
Jeśli chodzi o logowanie się po ssh to w pliku konfiguracyjnym /etc/ssh/sshd_config opcja :
ListenAddress i podaj adres ip od strony lanu
Ostatnio edytowany przez ba10 (2011-04-07 16:49:53)
Offline
podałem IP od strony LANu i teraz wcale nie mogę się dostać na serwer...
Offline
:) No to piesza wycieczka Ciebie czeka :)
Czy adres ip, który podałeś w konfigu był adresem ip od strony lanu przypisany do interfejsu tego serwera i czy próbujesz się logować na ten serwer z komputera będącego w tym lanie ?
Ostatnio edytowany przez ba10 (2011-04-07 17:39:12)
Offline
wycieczka zrobiona i zahaszowalem wpis wiec już wszystko działa... ale nadal nie mogę zablokować dostępu z netu...
komputery są w tym samym LANie ale DEBIAN jest klientem innego DHCP więc IP z którego się chciałem logować nie jest przypisany przez DEBIANa więc pewnie dlatego nie mógł się dostać...
Offline
Czyli nie masz dwóch kart sieciowych, do jednej jest dołączona sieć lan a do drugiej karty siec wan czyli wyjście na świat ? Ten serwer to router/brama dla sieci czy co to w ogóle jest ? i jak ta siec wygląda?
Offline
serwer ma jedną kartę sieciową - podłączony jest jako klient sieci i ma przydzielony zewnętrzny IP.
Offline
Ok. To inaczej.
Na tym serwerze załóż sobie normalnego użytkownika. Następnie w pliku który już poznałeś ;) czyli /etc/ssh/sshd_config zainteresuj się takimi opcjami :
PermitRootLogin no - Brak możliwości zalogowania się na konto roota zdalnie.
Port - zmienić port na jakiś inny wysoki np. 54321 i oczywiście jak jest iptables to przepuścić ruch na tym porcie.
AllowUsers nazwa_uzytkownika - zezwolenie na logowanie się za pomocą ssh danego użytkownika, inni użytkownicy próbujący się zalogować będą "odrzucani". Wtedy logujesz się na zwykłego użytkownika i poleceniem su przełączasz się na konto root.
Takie parę opcji ale już ograniczające zdalny dostęp do maszyny.
Ostatnio edytowany przez ba10 (2011-04-07 18:30:59)
Offline
Do ssh w sshd_config ustawić:
PermitRootLogin without-password
wygenerować klucze RSA 4096 albo nawet 16384 bity, albo DSA 1024 bity, i logować przy pomocy klucza.
A na siłowe włamania na ssh [url=http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/]mały trik[/url] z iptables:
iptables -N SSHSCAN iptables -A INPUT -p tcp --dport {port-ssh} -m state --state NEW -j SSHSCAN iptables -A SSHSCAN -m recent --set --name SSH iptables -A SSHSCAN -m recent --update --seconds 1800 --hitcount 3 --name SSH -j DROP
do tego ssh na innym porcie - najlepiej 5 cyfrowym, a recent na porty z zakresu +-200 od portu ssh.
I tu się kończą możliwości skrypciarzy ;)
Ostatnio edytowany przez Jacekalex (2011-04-07 19:27:19)
Offline
[quote=Jacekalex]A na siłowe włamania na ssh [url=http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/]mały trik[/url] z iptables ....[/quote]
lub po prostu zastosować fail2ban, który jest w repozytorium debiana.
Ostatnio edytowany przez ba10 (2011-04-07 19:45:53)
Offline
[quote=ba10][quote=Jacekalex]A na siłowe włamania na ssh [url=http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/]mały trik[/url] z iptables ....[/quote]
lub po prostu zastosować fail2ban, który jest w repozytorium debiana.[/quote]
A po co ładować dodatkowego demona, który otwiera nowy proces, i wisi na procku, i może siąść po aktualizacji jakiejś biblioteki systemowej, jeśli to samo można w 15 sekund zrobić w firewallu?
Jeśli już koniecznie osoby demon, to chyba lepiej denyhosts, nie dlatego, żebym go specjalnie lubił, ale on przynajmniej ściagnie do [b]/etc/host.deny[/b] czarną listę skrypciarzy z całego świata, zgłoszonych przez inne denyhosty. ;)
I też jest w [url=http://packages.debian.org/squeeze/denyhosts]repo Debiana[/url].
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-04-07 23:40:15)
Offline
@Jacekalex
Ale przecież aplikacja fail2ban może robić wszystko to o czym piszesz :D
Po aktualizacji nic nie siada i nie jest to żadna jakaś mega aplikacja, która pożera zasoby, a jest dobrym wyborem dla początkujących jak i zaawansowanych użytkowników. Po prostu kolejny wybór, a to kto co wybierze jest jego prywatną sprawą.
Ostatnio edytowany przez ba10 (2011-04-08 08:04:42)
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00021 | SET CHARSET latin2 |
0.00006 | SET NAMES latin2 |
0.00142 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.57.41' WHERE u.id=1 |
0.00095 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.57.41', 1733033720) |
0.00055 | SELECT * FROM punbb_online WHERE logged<1733033420 |
0.00081 | DELETE FROM punbb_online WHERE ident='166.108.238.88' |
0.00092 | SELECT topic_id FROM punbb_posts WHERE id=170214 |
0.00009 | SELECT id FROM punbb_posts WHERE topic_id=18733 ORDER BY posted |
0.00095 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18733 AND t.moved_to IS NULL |
0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
0.00221 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18733 ORDER BY p.id LIMIT 0,25 |
0.00077 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18733 |
Total query time: 0.00903 s |