Автор Тема: Ограничаване на достъп през ip с ufw  (Прочетена 6842 пъти)

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1262
    • Профил
Re: Ограничаване на достъп през ip с ufw
« Отговор #15 -: Apr 01, 2017, 19:53 »
Цитат
А на мен леко ми се повдига като чета, че на някой друг му се повдига по такъв повод. Погледни какво ще ти каже nmap с ключове -Т5 -А -- дали няма да лъсне порта, на който слуша ssh ::)
Сменянето на порта е нещо съвсем тривиално което спестява шум и дразненето да видя 300 000 провалени опита за логин за 2 седмици. Естесвено, че ако някой иска ще разбере на кой порт слуша ще го направи. В общи линии е доста обезкуражаващо да се пробваш ако видиш, че порт не е стандартния. Просто можеш да си спестиш за 3 секунди работа над 90% от тривиалните "атаки". Отделно може да ползваш fail2ban - той ще се погрижи за iptables и ще банва ИП-та според определните правила, ако някой толкова е изтерясал на тема сигурност.

denyhosts, който вече споменах върши същата работа.

Цитат
А има ли някакъв проблем тези файлове да се прибират от страна на сървъра, а не от страна на клиента?
Да ,има. Много от клиентските машини(да не кажа всички) са зад firewall и позволят ssh достъп само от определени единични машини - relay/jumpbox както искаш им кажи.
[/quote]

Позволят или позволяват?!
Активен

the lamer's team honourable member

sysadmina

  • Участници
  • ***
  • Публикации: 3
    • Профил
Re: Ограничаване на достъп през ip с ufw
« Отговор #16 -: Oct 06, 2017, 20:35 »
Все пак ме интересува кои други портове могат да се ограничат при горния вариант и защо не е надежден?
Няма ли да намали опитите за свързване към сървъра ?
Ограничил ли съм порт 80 правилно или мога ли да му поставя маска пр. 212.212.xxx.xxx и как ?


1) Смених юзъра, сложих му права ALL през visudo и го добавих в sudo групата? И 2-те неща ли се правят или само едното стига за правилен достъп?
2) Спрях root достъпа и спрях root usera с passwd -l root

При една комбинация с Last Pass (не че ползвам ;D ) има ли смисъл от криптиращ ключ при положение , че е горе долу същото?
(при положение , че паролата се праща криптирана ...)

Сега ще видя и с ключа как стават нещата , но един път май го оплесках и после нямах достъп. Както и denyhosts , но ми се стори по-лесно да огранича с ип...

Какво разбираш под маска "пр. 212.212.xxx.xxx " ?
За пръв път виждам такава маска. Можеш ли да дадеш пример как точно я ползваш тази маска?

Това с оплескването на SSH с ключ не е нещо ненормално. Ако го сбъркаш наистина ще си отрежеш достъпа, понеже ще скапеш целия SSH.
Да, ограничението по IP е най-лесното и най-правилното, а това, че ще сложиш и ключ ще ти направи машинката по-защитена.
Активен

Сървърите трябва да са само под Линукс. Клиентските работни станции може и да са с Уиндоус. За вкъщи сървър втора употреба.
http://sysadmina.com