Страница 1 из 1
SSHD
Добавлено: 2015-11-18 12:53:23
Гость
Добрый день
Подскажите пожалуйста, "служба" SSHD в FreeBSD, нужна только для удаленного доступа? Если мне нужно запретить любой удаленный доступ, то достаточно сделать так:?
/etc/rc.d/sshd stop
И в файле /etc/rc.conf заменить sshd_enable="YES" на sshd_enable="NONE"
правильно я понимаю?
SSHD
Добавлено: 2015-11-18 15:47:50
guest
Гость писал(а):Добрый день
Подскажите пожалуйста, "служба" SSHD в FreeBSD, нужна только для удаленного доступа? Если мне нужно запретить любой удаленный доступ, то достаточно сделать так:?
/etc/rc.d/sshd stop
И в файле /etc/rc.conf заменить sshd_enable="YES" на sshd_enable="NONE"
правильно я понимаю?
правильно, но интерактивный пользователь может запустить для себя демон на высоком порту
SSHD
Добавлено: 2015-11-18 16:14:59
Гость
guest писал(а):правильно, но интерактивный пользователь может запустить для себя демон на высоком порту
Это как? Сможет удаленно подключиться, даже если SSHD не запущен? Если так, то можно как то запретить удаленные подключения?
SSHD
Добавлено: 2015-11-18 18:10:51
Neus
Запретить доступ к файлу.
SSHD
Добавлено: 2015-11-18 18:51:52
FiL
Гость писал(а):Это как? Сможет удаленно подключиться, даже если SSHD не запущен? Если так, то можно как то запретить удаленные подключения?
нет, если sshd не запущен, то не сможет. Но он может сначала запустить sshd и тем самым обеспечить себе удаленный доступ.
Но это при условии, что у него таки есть локальный доступ и фаервол разрешает коннекты.
Я вообще вопрос удаленного доступа решал исключительно через фаервол, а не остановкой sshd.
SSHD
Добавлено: 2015-11-18 19:02:05
guest
Гость писал(а):guest писал(а):правильно, но интерактивный пользователь может запустить для себя демон на высоком порту
Это как? Сможет удаленно подключиться, даже если SSHD не запущен? Если так, то можно как то запретить удаленные подключения?
уточнение по rc.conf -> subroutine "checkyesno" проверяет:
name_enable -> yes/true/on/1
-> no/false/off/0
значит: sshd_enable=yes или sshd_enable=no
исключение sendmail_enable=NONE (если совсем отключить)
сервер A, на нем sshd_enable=no -> sshd не стартует от рута при автозагрузке,
но сам демон в наличии на сервере A, что не запрещает интерактивному пользователю vasya
сервера A, запустить демон sshd руками на высоком порту, например:
# /usr/sbin/sshd -f /home/vasya/my.conf -p 60022
и заходить на сервер A извне в обход firewall, ибо нормальные администраторы не занимаются
паранойей и не блокируют высокие порты
SSHD
Добавлено: 2015-11-18 21:27:38
FiL
undefined писал(а): ибо нормальные администраторы не занимаются
паранойей и не блокируют высокие порты
Спасибо, поржал.
SSHD
Добавлено: 2015-11-18 23:10:26
Neus
Правильная политика: "запрещено все, кроме … "
Нормальные администраторы придерживаются её
SSHD
Добавлено: 2015-11-19 16:04:01
guest
Neus писал(а):Правильная политика: "запрещено все, кроме … "
Нормальные администраторы придерживаются её
нет, это неверная политика с разных точек зрения, в том числе и
с точки зрения default'ного состояния пакетного фильтра: все открыто или все закрыто
ps. Мнений на эту тему множество и что-либо доказывать - бессмысленно, ибо хозяин - барин
SSHD
Добавлено: 2015-11-19 19:51:31
Neus
А кто собирается спорить и требовать доказательств?
SSHD
Добавлено: 2015-12-18 23:08:04
Alex Keda
guest писал(а):Neus писал(а):Правильная политика: "запрещено все, кроме … "
Нормальные администраторы придерживаются её
нет, это неверная политика с разных точек зрения, в том числе и
с точки зрения default'ного состояния пакетного фильтра: все открыто или все закрыто
ps. Мнений на эту тему множество и что-либо доказывать - бессмысленно, ибо хозяин - барин
+1
прикрыть сервисы какие, если надо, и всё.