Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » jak zablokować możliwość logowania z internetu
#1 2011-04-06 21:34:10
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
jak zablokować możliwość logowania z internetu
Chciałbym pozostawić TYLKO możliwość logowania się z LANu - da się tak zrobić??
Offline
#2 2011-04-06 21:47:54
torrentow - 
Członek Sejmowej Komisji Śledczej
- torrentow
- Członek Sejmowej Komisji Śledczej
- Skąd: z GNU
- Zarejestrowany: 2009-11-23
Re: jak zablokować możliwość logowania z internetu
Do czego?
Każdy sam sobie szkodzi :)
[img]http://img715.imageshack.us/img715/7104/apt.png[/img]
Offline
#3 2011-04-07 09:14:32
lis6502 - Łowca lamerów
- lis6502
- Łowca lamerów
- Skąd: Stalinogród
- Zarejestrowany: 2008-12-04
Re: jak zablokować możliwość logowania z internetu
Możesz iptabelkami zablokować ruch na konkretnych portach dla określonych maków, ipków.
Kod:
iptables -I FORWARD -s !ip_uprzywilejowane -p tcp --dport początkowy_port:końcowy_port -j DROP
W konfiguracji ssh możesz ustawić nasłuchiwanie tylko na lokalnym interfejsie. Możliwości jest tyle, ilu czytających ten wątek. Określ się dokładnie co chcesz zrobić i jaką masz topologię sieci.
Offline
#4 2011-04-07 16:35:23
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
Re: jak zablokować możliwość logowania z internetu
chodzi mi o to że chcę zablokować możliwość logowania na serwer, ponieważ ktoś ostatnio dostał mi się do serwera i chciał coś namieszać... Chcę móc administrować serwerem TYLKO z LANu a z netu żeby dostępu nie było
Offline
#5 2011-04-07 16:40:58
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
Jeśli chodzi o logowanie się po ssh to w pliku konfiguracyjnym /etc/ssh/sshd_config opcja :
ListenAddress i podaj adres ip od strony lanu
Ostatnio edytowany przez ba10 (2011-04-07 16:49:53)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#6 2011-04-07 17:22:39
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
Re: jak zablokować możliwość logowania z internetu
podałem IP od strony LANu i teraz wcale nie mogę się dostać na serwer...
Offline
#7 2011-04-07 17:38:47
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
:) No to piesza wycieczka Ciebie czeka :)
Czy adres ip, który podałeś w konfigu był adresem ip od strony lanu przypisany do interfejsu tego serwera i czy próbujesz się logować na ten serwer z komputera będącego w tym lanie ?
Ostatnio edytowany przez ba10 (2011-04-07 17:39:12)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#8 2011-04-07 18:11:39
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
Re: jak zablokować możliwość logowania z internetu
wycieczka zrobiona i zahaszowalem wpis wiec już wszystko działa... ale nadal nie mogę zablokować dostępu z netu...
komputery są w tym samym LANie ale DEBIAN jest klientem innego DHCP więc IP z którego się chciałem logować nie jest przypisany przez DEBIANa więc pewnie dlatego nie mógł się dostać...
Offline
#9 2011-04-07 18:17:49
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
Czyli nie masz dwóch kart sieciowych, do jednej jest dołączona sieć lan a do drugiej karty siec wan czyli wyjście na świat ? Ten serwer to router/brama dla sieci czy co to w ogóle jest ? i jak ta siec wygląda?
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#10 2011-04-07 18:21:42
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
Re: jak zablokować możliwość logowania z internetu
serwer ma jedną kartę sieciową - podłączony jest jako klient sieci i ma przydzielony zewnętrzny IP.
Offline
#11 2011-04-07 18:28:17
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
Ok. To inaczej.
Na tym serwerze załóż sobie normalnego użytkownika. Następnie w pliku który już poznałeś ;) czyli /etc/ssh/sshd_config zainteresuj się takimi opcjami :
PermitRootLogin no - Brak możliwości zalogowania się na konto roota zdalnie.
Port - zmienić port na jakiś inny wysoki np. 54321 i oczywiście jak jest iptables to przepuścić ruch na tym porcie.
AllowUsers nazwa_uzytkownika - zezwolenie na logowanie się za pomocą ssh danego użytkownika, inni użytkownicy próbujący się zalogować będą "odrzucani". Wtedy logujesz się na zwykłego użytkownika i poleceniem su przełączasz się na konto root.
Takie parę opcji ale już ograniczające zdalny dostęp do maszyny.
Ostatnio edytowany przez ba10 (2011-04-07 18:30:59)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#12 2011-04-07 19:23:10
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: jak zablokować możliwość logowania z internetu
Do ssh w sshd_config ustawić:
Kod:
PermitRootLogin without-password
wygenerować klucze RSA 4096 albo nawet 16384 bity, albo DSA 1024 bity, i logować przy pomocy klucza.
A na siłowe włamania na ssh [url=http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/]mały trik[/url] z iptables:
Kod:
iptables -N SSHSCAN
iptables -A INPUT -p tcp --dport {port-ssh} -m state --state NEW -j SSHSCAN
iptables -A SSHSCAN -m recent --set --name SSH
iptables -A SSHSCAN -m recent --update --seconds 1800 --hitcount 3 --name SSH -j DROPdo tego ssh na innym porcie - najlepiej 5 cyfrowym, a recent na porty z zakresu +-200 od portu ssh.
I tu się kończą możliwości skrypciarzy ;)
Ostatnio edytowany przez Jacekalex (2011-04-07 19:27:19)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#13 2011-04-07 19:45:09
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
[quote=Jacekalex]A na siłowe włamania na ssh [url=http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/]mały trik[/url] z iptables ....[/quote]
lub po prostu zastosować fail2ban, który jest w repozytorium debiana.
Ostatnio edytowany przez ba10 (2011-04-07 19:45:53)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#14 2011-04-07 23:32:37
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: jak zablokować możliwość logowania z internetu
[quote=ba10][quote=Jacekalex]A na siłowe włamania na ssh [url=http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/]mały trik[/url] z iptables ....[/quote]
lub po prostu zastosować fail2ban, który jest w repozytorium debiana.[/quote]
A po co ładować dodatkowego demona, który otwiera nowy proces, i wisi na procku, i może siąść po aktualizacji jakiejś biblioteki systemowej, jeśli to samo można w 15 sekund zrobić w firewallu?
Jeśli już koniecznie osoby demon, to chyba lepiej denyhosts, nie dlatego, żebym go specjalnie lubił, ale on przynajmniej ściagnie do [b]/etc/host.deny[/b] czarną listę skrypciarzy z całego świata, zgłoszonych przez inne denyhosty. ;)
I też jest w [url=http://packages.debian.org/squeeze/denyhosts]repo Debiana[/url].
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-04-07 23:40:15)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#15 2011-04-08 07:32:20
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
@Jacekalex
Ale przecież aplikacja fail2ban może robić wszystko to o czym piszesz :D
Po aktualizacji nic nie siada i nie jest to żadna jakaś mega aplikacja, która pożera zasoby, a jest dobrym wyborem dla początkujących jak i zaawansowanych użytkowników. Po prostu kolejny wybór, a to kto co wybierze jest jego prywatną sprawą.
Ostatnio edytowany przez ba10 (2011-04-08 08:04:42)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » jak zablokować możliwość logowania z internetu
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00097 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.227.48.237' WHERE u.id=1 |
| 0.00073 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.227.48.237', 1732804667) |
| 0.00054 | SELECT * FROM punbb_online WHERE logged<1732804367 |
| 0.00068 | DELETE FROM punbb_online WHERE ident='18.116.81.255' |
| 0.00073 | SELECT topic_id FROM punbb_posts WHERE id=170328 |
| 0.00162 | SELECT id FROM punbb_posts WHERE topic_id=18733 ORDER BY posted |
| 0.00076 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18733 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00091 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18733 ORDER BY p.id LIMIT 0,25 |
| 0.00070 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18733 |
| Total query time: 0.00784 s | |