Да попитам още нещо - да разбирам ли, че ако ползвам ChallengeResponseAuthentication това по някакъв начин променя начина на съхранение на паролите на сървъра?

До тук добре, но какъв точно е механизма при Challenge-reponse - от къде може да се разбере? На едно място твърдят, че се подава произволна стойност от сървъра и паролата се хешира толкова на брой пъти от клиента преди да се предаде (това обаче никак не звучи надеждно). На друго място казват, че стойността се "смесва" по някакъв алгоритмичен начин с паролата и после се се хешира което звучи добре. Има и места на които се твърди, че Challenge-reponse инструкцията в sshd_config е само ключова дума. Ето това ме притеснява най-много
http://fixunix.com/ssh/73410-how-does-challengeresponseauthentication-actually-works.html
и по-специално това:
It doesn't provide "additional security," per se. The term
"ChallengeResponseAuthentication" is just an OpenSSH configuration
keyword;

Извинявам се за тези въпроси, но в крайна сметка мисля, че ще е полезно и на други хора ако се систематизират и обяснят малко някои неща свързани с OpenSSH.
Четох навсякъде, но никъде не го обясняват като хората.

Следната настройка Ciphers - за какво е?
 Касае тунела на самият SSH или касае само определен метод за authentication?
 
По-сериозният въпрос каква е разликата между ChallengeResponseAuthentication и PasswordAuthentication? От това което намерих из мрежата PasswordAuthentication - праща паролата в чист вид през SSH криптираният "тунел" обаче на друго място твърдяха, че не е така. Каква е разликата с ChallengeResponseAuthentication. На едни места казват, че като го включиш и вече няма директно предаване на парола, а s/key на други место казват, че има повече възможности, но по подразбиране няма разлика с PasswordAuthentication? Задължителен ли е UsePAM ако се ползва едно от двете или не и за какво всъщност служи UsePAM като настройка?

Благодаря предварително на всички отзовали се за помоща!

Благодаря на всички. Ми май не е само в /etc/resolv.conf - то аз четох разни неща в интернет, но понеже ми се стори малко странно това (казваха същото което и вие) и реших да се консултирам. Добре де - пак да попитам ако tracert-на под Windows някой сървър понякога по пътя до него дадено IP ми се идентифицира като име. Това от къде се задава. Мислех, си че се взима от  DNS Server-ите, но ако на дадена машина се хост-ват множество сайтове и респективно множество домейни се помещават на същата машина то тогава какво излиза там? И респективно се зачудих не е ли възможно това да се задава локално на самата машина. Един вид как тя самата да се представя на света. И се обърках съвсем.

Накратко - рових в нета, но така и не разбрах каква точно е разликата между

dns-nameservers
dns-search
dns-domain

интересува ме най-вече dns-search за какво е? Доколкото разбрах dns-nameservers е за да се зададат DNS сървърите които ще се ползват за ресолване ако ще ги задаваме статично тоест не се получават динамично чрез DHCP. Но за какво служи тогава dns-search? Дайте малко помощ, че съвсем се обърках. А, да - става въпрос за Ubuntu Server.

Благодаря предварително на отзовалите се!

@dejuren има известна логика в аргументите ти, но за 55-те дни не съм съгласен - Логиката ми е нещата да се направят така, че усилията да се пробие системата да не си заслужават това което ще получиш когато я пробиеш. Тоест да не е рентабилно. Пак казвам ако иска нека я пробива - щом си няма работа. Едно време се занимавах малко с подобни неща, но в един момент пораснах и осъзнах, че докато някои се правят на велики хакери и вирусописачи други правят луди пари на техен гръб от антивирусни програми и прочие защитен софтуер. Сега вече работя само градивно за да създавам неща от които другите имат нужда. И смятам, че най-добрият начин да се откаже един хакер е като осъзнае, че ДА хакнал е системата - и какво тоя е хакнал, а аз ще я оправя и на кого ще платят? Освен това идеята си я бях изложил и преди - ако имам реална система на която имам 2 виртуални - на едната Apache, на другата MySQL и всяка от трите е с selinux и всеки от двата сървъра (Apache, MySQL) работи в chroot jail, а на реалната машина нямам пуснати услуги и достъпа до нея се извършва само през физически отделен интерфейс какво значение ще има това, че ще е стигнал евентуално до пробив на едната виртуална. Ще се озове в jail даже и в рамките на виртуалната. Колко бързо ще се разбере, че има проблем зависи само и единствено от това на колко време ми е нагласен крона на реалната да сканира виртуалните за промени. Пак казвам единствено базата данни може да се променя на тези системи. С един бит да се различава нещо друго значи се вдига тревога и се преинсталират виртуалните системи с нови пароли и се почва търсенето на уязвимост. И какво ще стане ако все пак някак успее да пробие - ами нищо особено - ще преинсталирам всичко и дори да има малка загуба на данни няма да е съществена (бекъпи на отдалечена машина се правят много често). Все пак това не са масивите на пентагона. Та затова казвам щом го влече - нека - той си губи времето - не аз. При мен когато всичко е готово ще му направя image и даже няма да си играя да го мъча със скриптовете които си пиша сега. Това е само ако реша да се местя на друга машина.

Добре, добре преди няколко минути и сам си открих отговора на въпроса - извинете за спама. Да попитам нещо друго - има ли начин между 2 виртуални Убинту-та под XEN на едното от които има Apache, а на другото MySQL комуникацията Apache <-> MySQL да минава като loopback, а не като между две отделни системи. Още един въпрос - прочетох, че за да работи на XEN без VT-x трябвало драйверите и самата операционна система на която се инсталира да е "модифицирана" каквото и да значи това. Въпроса ми е той ли я модифицира или е специална версия? И още ако подкарам selinux това ще се отрази ли? Не се смейте много ако бях работил на Линукс нямаше да питам особено в секцията за начинаещи!

Да попитам пак дали правилно съм разбрал. Четох за XEN и за KVM и пишеше, че KVM работил ужасяващо бавно ако хардуера няма VT-x, а за XEN даже май казват, че не може да работи без VT-x. Други казват, че можел но "допускал грешки". Вярно ли е това защото аз съм със старички машинки и нямам VT-x. От друга страна @gat3way е писал: "От друга страна, хубавото нещо на xen е че не е казано че трябва да имаш хардуерна подръжка, има паравиртуализация и е бързо по принцип" А аз него много го уважавам защото когато се е изказал винаги е било компетентно. Та да попитам пак XEN маже ли или не без VT-x? Ааа и понеже сега видях, че не съм отговорил на запитването за какво точно ми трябва. Ами да, трябва ми с цел предоставяне на услуга, но в началото ще се ползва като развойна среда само. Така или иначе си се екипира както си трябва. Няма да има графична среда на сървъра, няма да се ползва USB и нищо друго освен CPU, HDD, RAM и LAN.

А по въпроса за това дали е същото като да ти пробият реален сървър - ми не бих казал. @dejuren - Ако имам повече от един физически сървъри да - би било подобно, но сега съвсем не е така. Ако падне (бъде пробит) виртуален сървър единственото което би останало след новото замазване са данните от БД. В тях rootkit няма как да има. А и промяна която да е груба и манипулативна ще се изчисти за нула време. останалото би могло да се замаже за под 30 мин. и то автоматично. Ако е реален (само един) това няма как да стане. Ще трябва сам да си го чегъртам. Поне аз така виждам нещата. Не е проблема в това да се пробие - разбира, се че може. Тук въпроса е до ресурси. Ако за да пробие на хакера му трябват дори само 5 дена. А за да се замажат нещата на мен ми трябват 5 мин. чудесно нека пробива. Той няма да спечели нито стотинка от това, че е пробил - само ще си е загубил времето. Щом го влече - нека.

Заради MySQL-а ми и той е на същият сървър, и обръщенията към него са на 127.0.0.1 иска ми се да са разделени със сигурност.

Сетих се още нещо важно - в същото време ако не се обръщам локално си работи идеално.

Значи пробвано е с:

GET 127.0.0.1/file.php
GET http://127.0.0.1/file.php
GET 127.0.0.1:80/file.php
GET http://127.0.0.1/file.php

и как ли още не - не ше и това си е. Като пусках правилата по отделно и стигнах до това заключение - изходящият не е проблем. Проблема е във входящият. Ако му се махне DROP-а ясно всичко минава. С counter-ите вече съм пробвал, но не се ориентирам - явно защото има и друг трафик. Странното, е че като му задам:
iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo
не минава - поправете ме ако греша, но според мен би трябвало като това се инсъртне на първо място да пропуска всичко от 127.0.0.1:* до 127.0.0.1:80 стига да е tcp. GET http://127.0.0.1/ би трябвало да е tcp и е от 127.0.0.1 ама не иска. И още по-странното, е че ако му махна изискването за destination port 80 минава няма проблем. Демек с iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp -j ACCEPT -i lo няма проблем. Аааа и още нещо защо първото ми правило в INPUT chain-а не хваща този трафик като е any any anywhere anywhere та трябва да му задавам второ за 127.0.0.1 127.0.0.1 -i lo?

Това ми е конфигурацията на iptables в общи линии:

iptables -L -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

 target      prot opt  in      out      source               destination
ACCEPT    tcp   --  any    any     anywhere           anywhere            tcp dpt:www state NEW,ESTABLISHED
 DROP       all   --  any    any      anywhere           anywhere


Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

 target      prot  opt  in     out     source               destination
ACCEPT     tcp    --  any    lo      localhost             localhost           state NEW tcp dpt:www
ACCEPT     all    --  any    any    anywhere            anywhere            state ESTABLISHED
DROP         all   --  any    any     anywhere           anywhere

Защо след като в Chain INPUT имам:

ACCEPT    tcp   --  any    any     anywhere           anywhere            tcp dpt:www state NEW,ESTABLISHED

GET 127.0.0.1/file.php не минава.

И защо като му задам да речем:

iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo

GET 127.0.0.1/file.php пак не минава.

Но ако му задам да няма проверка на кой порт се връзва минава?
Ударете едно рамо, че почна да ми писва!
Благодаря ви предварително!

От една страна бях останал с впечатление, че в една система мога да имам само един chroot jali. От друга концептуално нещо ми куца. Аз се опитвам да комбинирам различни методи за изолиране на дадена част от сървъра. Ако ползвам chroot контейнер и в него chroot jail не се ли получава 2 пъти едно и също и какъв е смисъла ако е така. Не съм достатъчно наясно с тази материя и ще трябва още да попрочета явно.

Като за начало защото съм начинаещ в Линукса - иначе го обмислям много сериозно.

А сега малко извън темата - не съм ползвал много, много Линукс, но се занимавам с компютри от известно време. Преди време се занимавах доста с асемблер и по специално с вируси - та в един сайт VX Heavens - преди време бях срещал описания за атака на VM вчера потърсих статията, но не я намерих. Абсолютно съм сигурен, че я имаше някъде там . . . но Статията касаеше възможни сценарии за измъкването на вирус извън WMWare продукти. Но не виждам защо да не е възможно това да стане и с други VM може би по друг начин.

@borovaka Грешно си ме разбрал - това, че искам още мнения не значи, че не съм започнал да чета по въпроса. Доколкото схванах е нещо като виртуална машина която използва chrooting за разделянето на отделни (виртуални) контейнери. Работи само под Линукс прилично бърз е и има пълно преливане на ресурсите включително мястото на HDD-то което е в плюс. До тук ok, но лично мен ме притеснява това за chrooting-а. Затова и питам други хора за него - надявам се някой да ми каже, че нещо не съм разбрал правилно. В смисъл аз се надявах да имам 2 независими метода виртуална машина и chroot jail в нея. Сега имам опасения, че няма да се получи с OpenVZ.