hosts.deny,hosts.allow
Moderatorzy: Moderatorzy, Administratorzy
hosts.deny,hosts.allow
Witam! Mam tego typu problem. Korzystam z neostrady, ostatnio zauwazylem w logach ze z kilku adresow ktos nieustannie proboje sie logowac, tymczasowo zablokowalem te adresy w iptables. Czy biorac pod uwage ze posiadam neostrade da sie jakos rozsiadnie skorzystac z hosts.deny i hosts.allow ? Mial ktos juz taki problem ?
Re: hosts.deny,hosts.allow
Normalka. Przenieś ssh na wyższy port i to wystarczy. Możesz też ustawić w iptables logowanie na ilość prób (np. moduł recent). Ewentualnie pobaw się w port knocking
Re: hosts.deny,hosts.allow
Pliki te służą do kontroli przychodzących połączeń -- to czy serwer ma zmienne IP, czy nie, jest bez znaczenia. Pytanie, czy komputery, z których będziesz się logował mają stałe czy zmienne IP lub czy są w jakiejś określonej klasie. W każdym bądź razie, jk zablokujesz wszystko w iptables dodając wyjątki na te zdalne hosty i usługi, które Cię interesują to hosts.* nie powinno Ci być potrzebne tak na dobrą sprawę.Dragon pisze:Czy biorac pod uwage ze posiadam neostrade da sie jakos rozsiadnie skorzystac z hosts.deny i hosts.allow ?
Zastrzegam sobie prawo nieanalizowania postów pisanych niepoprawną polszczyzną.
Post generated automatically by A.I. system code name ‘mina86’ in response to the previous one.
Post generated automatically by A.I. system code name ‘mina86’ in response to the previous one.
Re: hosts.deny,hosts.allow
No własnie, mowiac ze mam neostrade dokladnie chodzilo mi o to ze loguje sie z komputera o zmiennym ip. Zauwazylem ze skorzystanie z noip2 wchodzi w gre. Co do adresow to neo ma dosyc szeroka pule wiec zostawnienie adresu w formacie 95. w hosts.allow nic nie pomoze.
Re: hosts.deny,hosts.allow
Dragon, najprosciej - przerzuc ssh na inny port.
Re: hosts.deny,hosts.allow
Nie wiem jakie adresy ma Neostrada, ale z pewnością nie jest tak tragicznie -- w końcu adres IP wiąże się też z lokalizacją zatem z pewnością Twój komputer ma adres z pewnej stosunkowo malej puli. Zablokowanie pozostałych adresów pomoże, bo odetnie Cię od reszty świata.Dragon pisze:Co do adresow to neo ma dosyc szeroka pule wiec zostawnienie adresu w formacie 95. w hosts.allow nic nie pomoze.
Jednak tak jak zostało powiedziane, najprościej ustawić wysoki port (formalnie rzecz biorąc najlepiej jednak poniżej 1024, ale już chyba nikt się tym nie przejmuje w obecnych czasach). W połączeniu z zablokowaniem "reszty świata", jak to określiłem wyżej, powinno zapewnić Ci spokojny sen.
Jeżeli jesteś naprawdę paranoikiem, możesz postawić VPN i na serwerze nasłuchiwać jedynie na połączenia klientów VPN. Wszelkie inne połączenia byłyby odrzucane i łączyć należałoby z wewnątrz sieci wirtualnej.
Zastrzegam sobie prawo nieanalizowania postów pisanych niepoprawną polszczyzną.
Post generated automatically by A.I. system code name ‘mina86’ in response to the previous one.
Post generated automatically by A.I. system code name ‘mina86’ in response to the previous one.
Re: hosts.deny,hosts.allow
jeszcze bylo cos takiego jak fail2ban, co do ssh ja osobiscie uwidzialem sobie port 666 ^^
Re: hosts.deny,hosts.allow
topdolar, jesli nie masz na serwerze zajetego portu 443, to cale te 666 jest przy 443 zalosna namiastka 'fajnego portu'
Ostatnio zmieniony 2009-09-06, 02:24 przez xil, łącznie zmieniany 1 raz.
Re: hosts.deny,hosts.allow
mi sie poprostu taki uwidzial,xil pisze:'fajnego portu'
doom Id Software. Root-level exploit exists thru Doom on some Unix hosts (Linux confirmed).
Re: hosts.deny,hosts.allow
Witam
A czy nie prościej będzie zablokować poprzez iptables wszystkie nowo przychodzące pakiety i wysłać je do piachu?
Ja tak mam u siebie i śmiga. Przez to nie blokuje sobie netu.
Pozdro
A czy nie prościej będzie zablokować poprzez iptables wszystkie nowo przychodzące pakiety i wysłać je do piachu?
Ja tak mam u siebie i śmiga. Przez to nie blokuje sobie netu.
Pozdro
Darasx
Re: hosts.deny,hosts.allow
Żartobliwie: Ale jak zablokujesz wszystkie, to po co Ci właściwie ten kabelek do netu?darasx pisze:zablokować poprzez iptables wszystkie nowo przychodzące pakiety i wysłać je do piachu?
Poważniej: A co jeśli jednak postanowisz skorzystać z danej usługi.
Re: hosts.deny,hosts.allow
Pajaczek pisze: Żartobliwie: Ale jak zablokujesz wszystkie, to po co Ci właściwie ten kabelek do netu?
Poważniej: A co jeśli jednak postanowisz skorzystać z danej usługi.
Owszem masz rację. Ale zważ że jak mnie interesuje jakaś usługa (np.WWW) puszczam port 80 itd. A co do ssh - niech wpuści tylko wybrane hosty:)
Ostatnio zmieniony 2009-09-13, 23:27 przez darasx, łącznie zmieniany 1 raz.
Darasx
-
- Moderator
- Posty: 1510
- Rejestracja: 2006-03-19, 12:00
- Lokalizacja: Gdynia
- Kontakt:
Re: hosts.deny,hosts.allow
Przeniesienie ssh na wysoki port praktycznie gwarantuje spadek bruteforce'ów do 0.
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
Re: hosts.deny,hosts.allow
darasx, Tylko to jest tylko proteza zabezpieczenia, z której nie każdy może skorzystać. Bo jak łączysz się z dynmicznego ip, albo z różnych miejsc?
Re: hosts.deny,hosts.allow
Witam
miszmaniac: Zgadzam się z że wywalenie usług na "dziwne" porty bardzo i to bardzo zmniejsza mozliwość intruzów.
Pajaczek: Co do łączenia z różnych miejsc - można skorzystać z dynamicznych DNS-ów lub wprowadzić bezpieczniejszą autoryzację ssh.
Możemy sporo o tym pisać a zdania mogą być różne:)
Każdy ma swoje upodobania co do zarządzania:)
Pozro
miszmaniac: Zgadzam się z że wywalenie usług na "dziwne" porty bardzo i to bardzo zmniejsza mozliwość intruzów.
Pajaczek: Co do łączenia z różnych miejsc - można skorzystać z dynamicznych DNS-ów lub wprowadzić bezpieczniejszą autoryzację ssh.
Możemy sporo o tym pisać a zdania mogą być różne:)
Każdy ma swoje upodobania co do zarządzania:)
Pozro
Darasx