forum.lissyara.su

Добавлено: **2011-04-11 20:25:23**

приветствую Вас, господа Админы.
стоит шлюз на FreeBSD+apache+squid+mysql+sams+php+pf
некоторое время назад заметил что ядро ругается на сканирование портов и дропает количество с ХХХ до 200
сегодня заглянул, а там отчеты о неудачных попытках подключиться к руту.
морочаться не стал, залез в rc.conf и поставил

Код: Выделить всё

sshd_enable="NO"

перезапустил, попробовал подключиться Путти к серваку - коннекта нет, ушел домой.

теперь вопрос, где можно прописать разрешение подключаться удаленно к ssh только с ИПа 192.168.0.2, а со всех остальных адресов закрыть конект?
так же, каким образом можно запретить ЛЮБОЙ доступ к Апачу извне? сейчас при проходе по моему белому ИПу открывается индекс моего маленького внутреннего сайта и при добавлении к ипу /sams/ открывается веб управление сервером. как запретить к этому всему доступ извне, но разрешить из локальной сети организации?

в роли фаервола стоит pf, у ssh открыт удаленный доступ руту, не редко работаю из дома....
pf перебрасывает запросы удаленного рабочего стола на виндовую машину, так что доступ в ЛС есть, а от туда уже мжно будет и к ssh подключиться.
зарание благодарен

Добавлено: **2011-04-11 20:31:30**

вот это IPTools сообщил об ИПах, с которых были неудачные попытки залогиниться

Код: Выделить всё

Address : 122.57.145.241
Name    : 122-57-145-241.jetstream.xtra.co.nz   (.NZ  | New Zealand (Aotearoa))
Ping .... Ok, Time : 379
Port  80 ... Ok !  
Port 110 ... Ok !  
Port  21 ... Ok !  
3 (of 9) open port(s) detected

Done


Address : 88.70.225.161
Name    : dslb-088-070-225-161.pools.arcor-ip.net   (.NET | Network)
Ping .... no reply
Done

первый из них вроде как провайдер

Добавлено: **2011-04-11 20:37:01**

Волшебное слово - файер, ну а про остальное - на внешнем интерфейсе вешайте только то , что там должно висеть, в простейшем случае привязывайте сервисы локальной сети к внутреннему интерфейсу... А вообще то голова должна быть с извилинами...

Добавлено: **2011-04-11 20:55:39**

snorlov писал(а):Волшебное слово - файер, ну а про остальное - на внешнем интерфейсе вешайте только то , что там должно висеть, в простейшем случае привязывайте сервисы локальной сети к внутреннему интерфейсу... А вообще то голова должна быть с извилинами...

фаервол стоит pf, а вот с извилинами проблемы.
как сказать апачу что он должен работать только в ЛС и то же самое для sshd?

Добавлено: **2011-04-11 21:04:54**

asb-eab писал(а):
snorlov писал(а):Волшебное слово - файер, ну а про остальное - на внешнем интерфейсе вешайте только то , что там должно висеть, в простейшем случае привязывайте сервисы локальной сети к внутреннему интерфейсу... А вообще то голова должна быть с извилинами...
фаервол стоит pf, а вот с извилинами проблемы.
как сказать апачу что он должен работать только в ЛС и то же самое для sshd?

А как вы вообще его установить то смогли если такие вопросы задаете?
В конфиг заглянуть вообще никак ?

Добавлено: **2011-04-11 21:07:41**

Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.

Добавлено: **2011-04-11 21:08:19**

alex_b писал(а): А как вы вообще его установить то смогли если такие вопросы задаете?
В конфиг заглянуть вообще никак ?

конфиг смотрел, настроил переброс банкклиена из ЛС к банку и проброс запросов удаленного рабочего стола из инета на комп в ЛС.
я нуб совсем, сделал по статье...

Добавлено: **2011-04-11 21:10:10**

Bayerische писал(а):Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.

это вот здесь надо править
/etc/ssh/sshd_config
?

Добавлено: **2011-04-11 21:11:49**

Да, как ни странно.

Добавлено: **2011-04-11 21:15:14**

Bayerische писал(а):Да, как ни странно.

как вариант вполне действенно, допустим я перенес на порт 1001, сканер покажет что это порт ssh?

Добавлено: **2011-04-11 21:19:58**

сканер покажет что это порт ssh?

Вопрос интересный, я не знаю

Я рассчитывал на это как на организационную меру. В подавляющем большинстве случаев никто не будет пытаться подключиться по нестандартному порту.

Добавлено: **2011-04-11 21:33:10**

Bayerische писал(а):а так же поставьте sudo, запретите руту доступ и спите спокойно.

ну да. видел я последовавших такому совету - тока у них в судо прописан шелл

и что удивительно - спят ну абсолютно спокойно

Добавлено: **2011-04-11 22:03:17**

Alex Keda писал(а):
Bayerische писал(а):а так же поставьте sudo, запретите руту доступ и спите спокойно.
ну да. видел я последовавших такому совету - тока у них в судо прописан шелл
и что удивительно - спят ну абсолютно спокойно

в таком случае Ваше ИМХО в студию по вопросу данной темы?

Добавлено: **2011-04-11 22:26:22**

Bayerische писал(а):Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.

Во фре по умолчанию, прямой доступ для root по ssh запрещен, разрешен только для пользователей из группы wheel, впрочем очумелые ручки могут разрешить авторизоваться сразу root'у, защитить ssh можно еще многими путями, в самом конфиге конкретно прописать пользователя и с каких ip он заходит, изменить порт 22 на нестандартный, файером разрещить доступ к порту ssh с определенных ip и запретить доступ к этому порту всем остальным, ну и различные приблуды, анализирующие консоль и блокирующие ip на некоторое время, если аутенфикация не проходит, например sshit...

Добавлено: **2011-04-11 22:35:30**

snorlov писал(а):
Bayerische писал(а):Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.
Во фре по умолчанию, прямой доступ для root по ssh запрещен, разрешен только для пользователей из группы wheel, впрочем очумелые ручки могут разрешить авторизоваться сразу root'у, защитить ssh можно еще многими путями, в самом конфиге конкретно прописать пользователя и с каких ip он заходит, изменить порт 22 на нестандартный, файером разрещить доступ к порту ssh с определенных ip и запретить доступ к этому порту всем остальным, ну и различные приблуды, анализирующие консоль и блокирующие ip на некоторое время, если аутенфикация не проходит, например sshit...

sshit разглядывал...
вот у меня какраз те самый ручки, которые разрешили подключаться рутом удалено (удобно сидеть и из дома допиливать конфиг, график работы позволяет мне не приходить на работу,а аделать всё из дома).
но вот думаю не надо баловаться, сижу читаю про pf, дапилю немного, а консоль удаленно вообще отключить и не пользоваться, а то начальство скажет "че ему платить, он вообще на работе не появляется" (1 начальник прекрасно понимает что и как я делаю, знает про удаленный доступ, вторая начльница полностью доверяется мне и первому начальнику, третья начальница самая главная - вообще не знает как влючается комп и ей не объяснишь что есть удаленный рабочий стол и путти, а еще бюзгалтерши палки в колеа пытаются пихать всякими тимвейверами и тунелированием его трафика, чего им не работается... а потом мне замгендира говорит плачется что у нас бухгалтерия через пень-колоду...)
пора дресировать особо непослушных, достали уже, все шишки на админа "дальше фишка не идет"

Добавлено: **2011-04-12 0:40:21**

Я от автоматических сканеров защитился так:

В "/etc/ssh/sshd_config" поставил

Код: Выделить всё

PermitRootLogin no
Port 222

За всё время работы сервера ни одной левой попытки логина. Разрешен логин по SSH только под моим пользователем с ограниченными правами, для перехода к руту использую "su". Пароли, естественно, разные.

допустим я перенес на порт 1001, сканер покажет что это порт ssh?

nmap покажет. Даже версию ssh и, может, ОС покажет.

А для параноиков давно есть статья: http://www.lissyara.su/articles/freebsd ... _knocking/

Добавлено: **2011-04-12 9:16:23**

название темы то какое страшное

Добавлено: **2011-04-12 13:07:58**

Aligarh
интересная статейка, как-то не видел ее раньше, сижу читаю...

Добавлено: **2011-04-12 13:15:04**

не вижу сцылочку на обсуждение этой статьи на форуме
http://www.lissyara.su/articles/freebsd ... _knocking/
из GUI(любого, не важно Win или *nux) Putty сможет сотворить такой коннект по трем разным портам и протоколам? или как вариант надо будет из консоли конектиться, откроется порт с правилами для моего ИПа и потом подключать Путти?
так же вопрос по статье: там было оговорено о времени, т.е. прям во время работы убираются правила и отрезается сессия? или удаление правил из ПФа происходит после отключения сессии? правила из ПФа удаляются сами автоматически после окончания сессии?

Добавлено: **2011-04-12 14:24:09**

schizoid писал(а):название темы то какое страшное

надо же было привлечь внимание к моей проблеме

Добавлено: **2011-04-12 14:49:11**

Я на вашем месте не смеялся бы, хорошо, что вы (ваш сервер) не представляет интереса, а то бы получили по полной ...

Добавлено: **2011-04-12 15:17:35**

Я когда то пробовал ставить разные нестандартные порты - попыток подсосацца стало меньше на порядок, но всё равно они были.

В итоге, с поднятием OpenVPN, прописал в sshd_config слушать только локальный адрес. Тоже как вариант.

Добавлено: **2011-04-12 16:44:12**

schizoid писал(а):название темы то какое страшное

ага
я думал аццкий хацкер радостью хотел поделиться об успешно проделанной работе

Добавлено: **2011-04-14 1:12:22**

snorlov писал(а):Я на вашем месте не смеялся бы, хорошо, что вы (ваш сервер) не представляет интереса, а то бы получили по полной ...

т.е. таким названием темы я привлекаю хакеров?
каким образом можно узнать ИП моего сервака по моим сообщениям?
я хакерством никогда не увлекался, ток теорию немного знаю...

Добавлено: **2011-04-14 1:14:34**

dekloper писал(а):
schizoid писал(а):название темы то какое страшное
ага
я думал аццкий хацкер радостью хотел поделиться об успешно проделанной работе

не, я законопослушный, организация закупила неоходимый софт, пидраться особо некчему, я женат и люблю жену - сообтветственно в тюрьму не хочется.

forum.lissyara.su

Взлом FreeBSD

Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD

Re: Взлом FreeBSD