2016-12-26 11:33 GMT+02:00 Adrian Sevcenco <[email protected]>:
> Salut! > > On 12/25/2016 03:15 PM, [email protected] wrote: > >> Nu poti opri fiindca le fac altii. Poti insa securiza portul 22. >> Evident ideal ar fi sa permiti conectarea numai de la adrese >> cunoscute. Daca nu poti face asta, exista iptables match recent care >> e minunat in acest context, sau alternativ port knocking. Nu muta >> daemonul mai sus de portul 1024 ca risti sa dai in alte belele. Daca >> > Scuze de hijacking dar ce alte belele pot fi? Eu am toate serverele cu > ssh-ul > 1024 de citiva ani .. la ce sa ma astept? > > Multumesc frumos! > Adrian > > Nu stiu sigur la ce fel de belele se refera wolfy, dar eu unul am dat de niste probleme foarte haioase (not!) cand am avut daemons care asculta pe porturi din intervalul din /proc/sys/net/ipv4/ip_local_port_range (care e 32768-61000 default). Porturile sub 1024 sunt protejate de kernel sa nu fie accesibile decat userului root, de la 1024 incolo incepe sa fie ceva mai haos. Ca exemplu, una din chestiile pe care le tin minte e ca aveam clienti care se legau la daemonul cu pricina pe localhost si din cand in cand gaseam unul care era legat la el insusi pe portul ala si daemonul plangea pe dinafara ca i-a papat cineva portul, in timp ce clientul care-si manca singur coada astepta forever sa-i zica cineva ceva. Nu era vorba de ssh, da' still, mi-a scos niste fire de par alb problema timp de cateva saptamani pana m-am prins. Si daca tot am comentat pe tema asta, as mentiona si ca sunt de parere ca mutatul daemonului pe alt port e frectie la picior de lemn. Nu face decat sa-ti dea tie sentimentul ca e mai pitit, pentru ca nu-s atat de multi care-l scaneaza. Dar nu scapi decat de aia foarte prosti care n-ar fi intrat oricum, cu pretul de a te pune pe tine sa schimbi toti clientii pe alte porturi. Fa chestii mai decisive, gen firewall de la ip-uri cunoscute, eliminat password auth (si lasat doar pubkey auth), scos root login (ca sa trebuiasca sa fie ghicit si userul), sau chiar chestii mai fancy gen port knocking. Asta cu pus loggingul verbose si ingrijoratul a ce trece pe acolo e echivalentul IT al urmaritului stirilor de la ora 5. -- P. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
