SSHD

[Гость]

Добрый день
Подскажите пожалуйста, "служба" SSHD в FreeBSD, нужна только для удаленного доступа? Если мне нужно запретить любой удаленный доступ, то достаточно сделать так:?
/etc/rc.d/sshd stop
И в файле /etc/rc.conf заменить sshd_enable="YES" на sshd_enable="NONE"
правильно я понимаю?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[guest]

Добрый день
Подскажите пожалуйста, "служба" SSHD в FreeBSD, нужна только для удаленного доступа? Если мне нужно запретить любой удаленный доступ, то достаточно сделать так:?
/etc/rc.d/sshd stop
И в файле /etc/rc.conf заменить sshd_enable="YES" на sshd_enable="NONE"
правильно я понимаю?

правильно, но интерактивный пользователь может запустить для себя демон на высоком порту

[Гость]

правильно, но интерактивный пользователь может запустить для себя демон на высоком порту

Это как? Сможет удаленно подключиться, даже если SSHD не запущен? Если так, то можно как то запретить удаленные подключения?

[Neus]

Запретить доступ к файлу.

[FiL]

Это как? Сможет удаленно подключиться, даже если SSHD не запущен? Если так, то можно как то запретить удаленные подключения?

нет, если sshd не запущен, то не сможет. Но он может сначала запустить sshd и тем самым обеспечить себе удаленный доступ.
Но это при условии, что у него таки есть локальный доступ и фаервол разрешает коннекты.
Я вообще вопрос удаленного доступа решал исключительно через фаервол, а не остановкой sshd.

[guest]

правильно, но интерактивный пользователь может запустить для себя демон на высоком порту

Это как? Сможет удаленно подключиться, даже если SSHD не запущен? Если так, то можно как то запретить удаленные подключения?

уточнение по rc.conf -> subroutine "checkyesno" проверяет:
name_enable -> yes/true/on/1
-> no/false/off/0

значит: sshd_enable=yes или sshd_enable=no
исключение sendmail_enable=NONE (если совсем отключить)

сервер A, на нем sshd_enable=no -> sshd не стартует от рута при автозагрузке,
но сам демон в наличии на сервере A, что не запрещает интерактивному пользователю vasya
сервера A, запустить демон sshd руками на высоком порту, например:

# /usr/sbin/sshd -f /home/vasya/my.conf -p 60022

и заходить на сервер A извне в обход firewall, ибо нормальные администраторы не занимаются
паранойей и не блокируют высокие порты

[FiL]

ибо нормальные администраторы не занимаются
паранойей и не блокируют высокие порты

Спасибо, поржал.

[Neus]

Правильная политика: "запрещено все, кроме … "
Нормальные администраторы придерживаются её

[guest]

Правильная политика: "запрещено все, кроме … "
Нормальные администраторы придерживаются её

нет, это неверная политика с разных точек зрения, в том числе и
с точки зрения default'ного состояния пакетного фильтра: все открыто или все закрыто

ps. Мнений на эту тему множество и что-либо доказывать - бессмысленно, ибо хозяин - барин

[Neus]

А кто собирается спорить и требовать доказательств?

[Alex Keda]

Правильная политика: "запрещено все, кроме … "
Нормальные администраторы придерживаются её

нет, это неверная политика с разных точек зрения, в том числе и
с точки зрения default'ного состояния пакетного фильтра: все открыто или все закрыто

ps. Мнений на эту тему множество и что-либо доказывать - бессмысленно, ибо хозяин - барин

+1
прикрыть сервисы какие, если надо, и всё.