οι γερμανοί ξανάρχονται με ...ssh :)

Dimitris Kalamaras dimitris.kalamaras at compupress.gr
Fri Dec 22 14:15:21 EET 2006 

Στις 22-12-2006, ημέρα Παρ, και ώρα 13:25 +0200, ο/η Alexandros Kosiaris
έγραψε:
> Dimitris Kalamaras wrote:
> > Καλησπέρα, 
> > 
> > έχω ένα πιθανό πρόβλημα με το ssh. Βλέπω στο /var/log/secure (δείτε
> > παρακάτω) ότι κάποιος υπολογιστής από τη Γερμανία (;)(arcor-ip.net μου
> > βάλω κάποιο IP ban για όλες τις IP εκτός από εκείνη από την οποία
> > συνδέομαι εγώ ( ~/.ssh/known_hosts); Υπάρχει κάτι άλλο;
> > 
> > 
> Πρώτον σιγουρέψου οτι έχεις καλά passwords σε όλους τους χρήστες.
ΟΚ. 

> Δεύτερον υπάρχει επιλογή στον ssh server(θεωρώ οτι μιλάμε για κάποιο
> linux/BSD μηχάνημα και όχι για καποιο router που τυγχάνει να έχει και
> ssh) για το ποιους χρήστες θα αφήνεις να περνάνε. Παρδείγματος χάρη δεν
> χρειάζεται να αφήνεις τον root να κάνει login.
> PermitRootLogin no λοιπόν στο /etc/ssh/sshd_config

Αυτό είναι βασικό. Το έκανα κιόλας. 

> Τρίτον ο ssh server είναι tcp_wrapper aware έτσι μπορείς είτε να κάνεις
> στα αρχεία /etc/hosts.allow,hosts.deny κάποιο blacklisting το οποίο δεν
> προτείνω γιατί σε περίοδο 3 μηνών θα δείς τόσα πολλά connections που θα
> χάσεις τον μπούσουλα πια IP μπλοκάρεις και πια όχι, είτε ενα mass-deny
> και white-lists τις IPs που θέλεις. Διάβασε λίγο τις man pages για αυτά
> τα λένε αρκετά καλά.

Μισό, με ενδιαφέρει. 

Έβαλα στο 
/etc/hosts.deny:
ALL: ALL

και στο /etc/hosts.allow:
sshd: @213.μπλα.μπλα

δηλαδή την IP και μόνο του απομακρυσμένου μηχανήματος από το οποίο θέλω
να συνδέομαι με τον ssh server, και έκανα restart τον sshd. Καθάρισα
σωστά; Θέλω να μπορώ να συνδεθώ από τον υπολογιστή της δουλειάς και
μόνο. Όλα τα άλλα να απορρίπτονται. 

Δεν κατάλαβα όμως γιατί δεν το προτείνεις αυτό. Αν ο ssh απορρίπτει τους
πάντες πλην του απομακρυσμένου μηχανήματος μου, τότε άστους να κάνουν
ότι θέλουν. Ή μήπως κάνω λάθος; 


> Τέταρτον μπορείς να βάλεις Firewall με iptables στο μηχάνημα ώστε να
> μπλοκάρει τα πάντα προς την 22 εκτός απο τις ips που θες
> 
> Πέμπτον το ίδιο με το παραπάνω αλλά στο router σου.

Αν κάνω τα 2,3 δεν είμαι εντάξει;

--Δημήτρης

More information about the Linux-greek-users mailing list