How to become an author
Search
Write a publication
Pull to refresh

Comments 17

В чем преимущества данной статьи по сравнению с этой, например?
Total votes 2: ↑2 and ↓0+2
Их нет. Для тех, кому непривычна среда *BSD, показано решение на базе Ubuntu.
Total votes 3: ↑3 and ↓0+3
$IP=’/sbin/iptables’
$EXTIP=<Your external IP>

$IPT -A INPUT -d $EXTIP -p tcp –dport 1500 -j LOG
$IPT -A INPUT -d $EXTIP -m state –state NEW -m tcp -p tcp –dport 22 -m recent –rcheck –name SSH -j ACCEPT
$IPT -A INPUT -d $EXTIP -m state –state NEW -m tcp -p tcp –dport 1499 -m recent –name SSH –remove -j DROP
$IPT -A INPUT -d $EXTIP -m state –state NEW -m tcp -p tcp –dport 1500 -m recent –name SSH –set -j DROP
$IPT -A INPUT -d $EXTIP -m state –state NEW -m tcp -p tcp –dport 1501 -m recent –name SSH –remove -j DROP
$IPT -A INPUT -d $EXTIP -p tcp –dport 22 -j DROP
Total votes 7: ↑7 and ↓0+7
Наверное, первая строчка все-таки так должна выглядеть:
$IPT=’/sbin/iptables’
Total votes 1: ↑1 and ↓0+1
Никогда не понимал смысла в стучании по портам. Авторизацию по ключам при отключённой авторизации по паролю уже кто-то научился ломать?
Total votes 4: ↑3 and ↓1+2
Так можно же не только SSH закрывать, но и другие сервисы.
This comment wasn’t rated yet0
А другие сервисы надо вообще всегда закрытыми держать, доступ к ним получая через SSH port forwarding.
Total votes 1: ↑1 and ↓0+1
А как просто сделать SSH port forwarding на Android/iPhone для, например, FTP?
This comment wasn’t rated yet0
iSSH это делает в несколько тапов. На андройде можно попробовать обычный консольный клиент OpenSSH.
This comment wasn’t rated yet0
А зачем нужен FTP при наличии SSH?
This comment wasn’t rated yet0
Насколько мне известно — нет, хотя в свете недавних событий все может быть печальнее чем нам кажется.
Однако не очень приятно видеть в логах по 1000 безуспешных попыток авторизаций каждую ночь.

Я использую ICMP knocking вот по этому рецепту: MikroTik + port knocking over ICMP + защиту от перебора паролей Bruteforce

И при этом отключенная парольная авторизация. Может немного и параноидально, но лучше перебдеть.
Total votes 1: ↑1 and ↓0+1
Я, чтоб логи не забивались, вешаю сервисы на нестандартные порты. По хорошему, надо в таком случае сразу вешать на стандартные порты fail2ban и банить тех, кто туда ломится.
Total votes 1: ↑1 and ↓0+1
Подсказка из зрительного зала: fail2ban мониторит логи авторизации.

Ему, по большей части, всё равно, кто и в какие… кхм, порты долбится. Если надо выпилить в /dev/null всех незнакомцев, ломящихся в tcp/22, то прошу любить и жаловать ipset.
This comment wasn’t rated yet0
Чо-то я не понял. Т.е этот демон просто прописывает в разрешения по преопределенному правилу для ip, с которого придет определенная последовательность запросов? Почему не повесить, например, простейший http, ожидающий строго определенный пакет и делающий то же самое?
Тогда «запрос на вход» можно отправлять штатным wget. И даже telnet. А можно нарисовать html и предлагать вводить текстовую строку + POST — это для не-владеющих-консолью будет (хотя, зачем им ssh? :)
В общем, что-то больно сложно для элементарной вещи.
Total votes 1: ↑0 and ↓1-1
<< Почему не повесить, например, простейший http, ожидающий строго определенный пакет и делающий то же самое?
Зачем это делать, если есть инструмент, специально предназначеный для этого?
Отмечу, что knockd не слушает никаких портов, в отличие от http. Более того, эти порты вообще могут быть закрыт фаерволом, что не помешает работе knockd.

<< Тогда «запрос на вход» можно отправлять штатным wget. И даже telnet
В случае с knockd это вполне возможно, просто штатным клиентом это удобнее делать.
This comment wasn’t rated yet0
Забыли рассказать про опцию конфига: cmd_timeout = time_in_seconds — задает таймаут, после которого будет выполнена команда, указанная в блоке [closeSSH]
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr