Re: lug-bg: Питане отностно message log
- Subject: Re: lug-bg: Питане отностно message log
- From: Vesselin Markov <vm@xxxxxxxxxxxxxxx>
- Date: Sun, 19 Sep 2004 21:19:17 +0300
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Sunday 19 September 2004 01:13 am, Vladimir Paskov wrote:
> Здравеите група, допредималко правих обиколка из логовете на работната
> ми машина и в
> /var/log/messages се натъкнах на следното:
>
[cut]
> 221.0.193.23 port 44967 ssh2
> Sep 18 23:59:23 xpman sshd[5581]: Invalid user test from 221.0.193.23
> Sep 18 23:59:23 xpman sshd[5581]: Failed password for invalid user test
> from 221.0.193.23 port 45045 ssh2
>
> Предполагам, че някои е правил опити да влезе в машината ми,или несъм
> прав? Бихтели ми казали за какво иде на въпрос и евентуално как да се
> опазя.
>
> Благодаря предварително за отговорите.
За нещо подобно мисля имаше питане наскоро.
Напълно прав си - някой е правил опити да влиза в машината ти. Мисля
че вече казаха за какво иде въпрос така че тази част ще я пропусна.
Имаше и предложения как да се опазиш, кое от кое по цветущи. Ето ги
моите 2 ст. Възможностите за PubkeyAuthentication и SSL over SSH,
комбинирани с адекватно firewall policy са определено добър вариант.
Случва се обаче да нямаш как да изброиш всички мрежи/хостове които
ще имат достъп до еди кой си service или мрежа. Какво правиш тогава?
Сменяш порта по подразбиране на който слуша SSH? Не го филтрираш
въобще? Този подход дава false sense of security и въпреки това се
практикува масово. Има и по добри възможности. Можеш да ползваш
port knocking (не съм особено запален) както и следния workaround.
Да приемем си пуснал SSH на висок порт (53291), работещ с keys,
описал си кой усер може да се логва и т.н. Все още можеш да
филтрираш порта и същевременно да дадеш достъп на избрани хора
(хехе) по следния начин:
[server]
iptables -t filter -I INPUT -i $EXT_IFACE -p tcp -d $EXT_ADDR --dport 53291
- --sport 23 -j ACCEPT
В общи линии пускаш хората които ти трябват до SSH при изрично зададен
сорс порт 23 (или друг). Възможността да се налучка комбинацията от 2-та
порта е доста нищожна.
[client]
iptables -t nat -I POSTROUTING -s $EXT_ADDR -d $TARGET_SRV -o
$EXT_IFACE -p tcp --dport 53291 -j SNAT --to-source $EXT_ADDR:23
А така казваш трафикът към SSH сървъра да излиза с порт 23.
Съгласен съм че този вариянт има своите слабости, но е просто удобен.
В същият контекст, не искам да се сещам колко хора все още пускат
трафик със сорс порт 53 до 0/0, 'защото DNS-а нямал да може да прави
зонален трансфер иначе' :)
Приятно сканиране.
В.
П.С. Ако си решил да се задълбочаваш как да даваш достъп от произволни
източници до цяла мрежа (било то със сертификати, pre-shared secrets, etc),
разгледай SonicWall/GlobalVPN; IPSec (roadwarrior).
- --
:wq
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
iD8DBQFBTc2qmCN1eSWR9owRAoNyAKC9OnHUIS02F1X44Mk/xrDHF4rMkwCgzM3X
ZqbNM/EPRqFgOk6aaCVXWJ0=
=/K7p
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|