Strona 1 z 1

hosts.deny,hosts.allow

: 2009-09-05, 08:44
autor: Dragon
Witam! Mam tego typu problem. Korzystam z neostrady, ostatnio zauwazylem w logach ze z kilku adresow ktos nieustannie proboje sie logowac, tymczasowo zablokowalem te adresy w iptables. Czy biorac pod uwage ze posiadam neostrade da sie jakos rozsiadnie skorzystac z hosts.deny i hosts.allow ? Mial ktos juz taki problem ?

Re: hosts.deny,hosts.allow

: 2009-09-05, 09:07
autor: memus
Normalka. Przenieś ssh na wyższy port i to wystarczy. Możesz też ustawić w iptables logowanie na ilość prób (np. moduł recent). Ewentualnie pobaw się w port knocking ;p

Re: hosts.deny,hosts.allow

: 2009-09-05, 09:32
autor: mina86
Dragon pisze:Czy biorac pod uwage ze posiadam neostrade da sie jakos rozsiadnie skorzystac z hosts.deny i hosts.allow ?
Pliki te służą do kontroli przychodzących połączeń -- to czy serwer ma zmienne IP, czy nie, jest bez znaczenia. Pytanie, czy komputery, z których będziesz się logował mają stałe czy zmienne IP lub czy są w jakiejś określonej klasie. W każdym bądź razie, jk zablokujesz wszystko w iptables dodając wyjątki na te zdalne hosty i usługi, które Cię interesują to hosts.* nie powinno Ci być potrzebne tak na dobrą sprawę.

Re: hosts.deny,hosts.allow

: 2009-09-05, 09:59
autor: Dragon
No własnie, mowiac ze mam neostrade dokladnie chodzilo mi o to ze loguje sie z komputera o zmiennym ip. Zauwazylem ze skorzystanie z noip2 wchodzi w gre. Co do adresow to neo ma dosyc szeroka pule wiec zostawnienie adresu w formacie 95. w hosts.allow nic nie pomoze.

Re: hosts.deny,hosts.allow

: 2009-09-05, 12:23
autor: xil
Dragon, najprosciej - przerzuc ssh na inny port.

Re: hosts.deny,hosts.allow

: 2009-09-05, 14:20
autor: mina86
Dragon pisze:Co do adresow to neo ma dosyc szeroka pule wiec zostawnienie adresu w formacie 95. w hosts.allow nic nie pomoze.
Nie wiem jakie adresy ma Neostrada, ale z pewnością nie jest tak tragicznie -- w końcu adres IP wiąże się też z lokalizacją zatem z pewnością Twój komputer ma adres z pewnej stosunkowo malej puli. Zablokowanie pozostałych adresów pomoże, bo odetnie Cię od reszty świata.

Jednak tak jak zostało powiedziane, najprościej ustawić wysoki port (formalnie rzecz biorąc najlepiej jednak poniżej 1024, ale już chyba nikt się tym nie przejmuje w obecnych czasach). W połączeniu z zablokowaniem "reszty świata", jak to określiłem wyżej, powinno zapewnić Ci spokojny sen.

Jeżeli jesteś naprawdę paranoikiem, możesz postawić VPN i na serwerze nasłuchiwać jedynie na połączenia klientów VPN. Wszelkie inne połączenia byłyby odrzucane i łączyć należałoby z wewnątrz sieci wirtualnej.

Re: hosts.deny,hosts.allow

: 2009-09-05, 23:23
autor: topdolar
jeszcze bylo cos takiego jak fail2ban, co do ssh ja osobiscie uwidzialem sobie port 666 ^^

Re: hosts.deny,hosts.allow

: 2009-09-06, 02:24
autor: xil
topdolar, jesli nie masz na serwerze zajetego portu 443, to cale te 666 jest przy 443 zalosna namiastka 'fajnego portu' :)

Re: hosts.deny,hosts.allow

: 2009-09-06, 12:28
autor: topdolar
xil pisze:'fajnego portu'
mi sie poprostu taki uwidzial,
doom Id Software. Root-level exploit exists thru Doom on some Unix hosts (Linux confirmed).

Re: hosts.deny,hosts.allow

: 2009-09-13, 22:55
autor: darasx
Witam

A czy nie prościej będzie zablokować poprzez iptables wszystkie nowo przychodzące pakiety i wysłać je do piachu?
Ja tak mam u siebie i śmiga. Przez to nie blokuje sobie netu.

Pozdro

Re: hosts.deny,hosts.allow

: 2009-09-13, 23:17
autor: Pajaczek
darasx pisze:zablokować poprzez iptables wszystkie nowo przychodzące pakiety i wysłać je do piachu?
Żartobliwie: Ale jak zablokujesz wszystkie, to po co Ci właściwie ten kabelek do netu?

Poważniej: A co jeśli jednak postanowisz skorzystać z danej usługi.

Re: hosts.deny,hosts.allow

: 2009-09-13, 23:27
autor: darasx
Pajaczek pisze: Żartobliwie: Ale jak zablokujesz wszystkie, to po co Ci właściwie ten kabelek do netu?

Poważniej: A co jeśli jednak postanowisz skorzystać z danej usługi.

Owszem masz rację. Ale zważ że jak mnie interesuje jakaś usługa (np.WWW) puszczam port 80 itd. A co do ssh - niech wpuści tylko wybrane hosty:)

Re: hosts.deny,hosts.allow

: 2009-09-14, 09:00
autor: miszmaniac
Przeniesienie ssh na wysoki port praktycznie gwarantuje spadek bruteforce'ów do 0.

Re: hosts.deny,hosts.allow

: 2009-09-14, 11:29
autor: Pajaczek
darasx, Tylko to jest tylko proteza zabezpieczenia, z której nie każdy może skorzystać. Bo jak łączysz się z dynmicznego ip, albo z różnych miejsc?

Re: hosts.deny,hosts.allow

: 2009-09-14, 23:03
autor: darasx
Witam

miszmaniac: Zgadzam się z że wywalenie usług na "dziwne" porty bardzo i to bardzo zmniejsza mozliwość intruzów.

Pajaczek: Co do łączenia z różnych miejsc - można skorzystać z dynamicznych DNS-ów lub wprowadzić bezpieczniejszą autoryzację ssh.

Możemy sporo o tym pisać a zdania mogą być różne:)

Każdy ma swoje upodobania co do zarządzania:)

Pozro