SSHD

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Гость
проходил мимо

SSHD

Непрочитанное сообщение Гость » 2015-11-18 12:53:23

Добрый день
Подскажите пожалуйста, "служба" SSHD в FreeBSD, нужна только для удаленного доступа? Если мне нужно запретить любой удаленный доступ, то достаточно сделать так:?
/etc/rc.d/sshd stop
И в файле /etc/rc.conf заменить sshd_enable="YES" на sshd_enable="NONE"
правильно я понимаю?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

guest
проходил мимо

SSHD

Непрочитанное сообщение guest » 2015-11-18 15:47:50

Гость писал(а):Добрый день
Подскажите пожалуйста, "служба" SSHD в FreeBSD, нужна только для удаленного доступа? Если мне нужно запретить любой удаленный доступ, то достаточно сделать так:?
/etc/rc.d/sshd stop
И в файле /etc/rc.conf заменить sshd_enable="YES" на sshd_enable="NONE"
правильно я понимаю?
правильно, но интерактивный пользователь может запустить для себя демон на высоком порту

Гость
проходил мимо

SSHD

Непрочитанное сообщение Гость » 2015-11-18 16:14:59

guest писал(а):правильно, но интерактивный пользователь может запустить для себя демон на высоком порту
Это как? Сможет удаленно подключиться, даже если SSHD не запущен? Если так, то можно как то запретить удаленные подключения?

Аватара пользователя
Neus
капитан
Сообщения: 1814
Зарегистрирован: 2008-09-08 21:59:56

SSHD

Непрочитанное сообщение Neus » 2015-11-18 18:10:51

Запретить доступ к файлу.

FiL
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2010-02-05 0:21:40

SSHD

Непрочитанное сообщение FiL » 2015-11-18 18:51:52

Гость писал(а):Это как? Сможет удаленно подключиться, даже если SSHD не запущен? Если так, то можно как то запретить удаленные подключения?
нет, если sshd не запущен, то не сможет. Но он может сначала запустить sshd и тем самым обеспечить себе удаленный доступ.
Но это при условии, что у него таки есть локальный доступ и фаервол разрешает коннекты.
Я вообще вопрос удаленного доступа решал исключительно через фаервол, а не остановкой sshd.

guest
проходил мимо

SSHD

Непрочитанное сообщение guest » 2015-11-18 19:02:05

Гость писал(а):
guest писал(а):правильно, но интерактивный пользователь может запустить для себя демон на высоком порту
Это как? Сможет удаленно подключиться, даже если SSHD не запущен? Если так, то можно как то запретить удаленные подключения?
уточнение по rc.conf -> subroutine "checkyesno" проверяет:
name_enable -> yes/true/on/1
-> no/false/off/0

значит: sshd_enable=yes или sshd_enable=no
исключение sendmail_enable=NONE (если совсем отключить)

сервер A, на нем sshd_enable=no -> sshd не стартует от рута при автозагрузке,
но сам демон в наличии на сервере A, что не запрещает интерактивному пользователю vasya
сервера A, запустить демон sshd руками на высоком порту, например:

# /usr/sbin/sshd -f /home/vasya/my.conf -p 60022

и заходить на сервер A извне в обход firewall, ибо нормальные администраторы не занимаются
паранойей и не блокируют высокие порты

FiL
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2010-02-05 0:21:40

SSHD

Непрочитанное сообщение FiL » 2015-11-18 21:27:38

undefined писал(а): ибо нормальные администраторы не занимаются
паранойей и не блокируют высокие порты
Спасибо, поржал.

Аватара пользователя
Neus
капитан
Сообщения: 1814
Зарегистрирован: 2008-09-08 21:59:56

SSHD

Непрочитанное сообщение Neus » 2015-11-18 23:10:26

Правильная политика: "запрещено все, кроме … "
Нормальные администраторы придерживаются её

guest
проходил мимо

SSHD

Непрочитанное сообщение guest » 2015-11-19 16:04:01

Neus писал(а):Правильная политика: "запрещено все, кроме … "
Нормальные администраторы придерживаются её
нет, это неверная политика с разных точек зрения, в том числе и
с точки зрения default'ного состояния пакетного фильтра: все открыто или все закрыто

ps. Мнений на эту тему множество и что-либо доказывать - бессмысленно, ибо хозяин - барин

Аватара пользователя
Neus
капитан
Сообщения: 1814
Зарегистрирован: 2008-09-08 21:59:56

SSHD

Непрочитанное сообщение Neus » 2015-11-19 19:51:31

А кто собирается спорить и требовать доказательств?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35288
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

SSHD

Непрочитанное сообщение Alex Keda » 2015-12-18 23:08:04

guest писал(а):
Neus писал(а):Правильная политика: "запрещено все, кроме … "
Нормальные администраторы придерживаются её
нет, это неверная политика с разных точек зрения, в том числе и
с точки зрения default'ного состояния пакетного фильтра: все открыто или все закрыто

ps. Мнений на эту тему множество и что-либо доказывать - бессмысленно, ибо хозяин - барин
+1
прикрыть сервисы какие, если надо, и всё.
Убей их всех! Бог потом рассортирует...