|
|
|
|
Strumenti |
02-10-2005, 10:54 | #21 | |
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Quote:
secondo me il discorso si fa complesso... da una parte nel post da te segnalato il tipo ha perfettamente ragione: aggiugere codice che gira come root su una macchina e' aggiungere vulnerabilita' in piu'... ma come tutte le cose bisogna sapere dove usare knockd e dove e' meglio farne a meno: se tu hai una macchina in rete che e' un simil-desktop o il tuo serverino casalingo, knockd diventa molto utile perche' cosi' puoi far credere di avere tutte le porte chiuse all'esterno, e un eventuale rompiballe di basso livello non considerera' nemmeno il tuo pc, infatti il 99% degli attacchi sono fatti in maniera automatica e sono del tipo: - prendo un indirizzo ip a caso (o quasi) vedo se ha aperto la porta 22 (o tutte le porte, conforme il tipo di attacco) - se trovo qualcosa di aperto provo a fare un brute force della password (e ti ritrovi nei log una tonnellata di tentativi falliti di accesso) se invece avevi knockd ti risparmiavi tutti i tentativi (che risultano inutili se hai una buona passw, ma sono sempre fastidiosi)... quindi knockd e' molto utile contro attacchi semi-automatici, se invece chi ti ha attacca ha proprio te come obbiettivo, ed e' in una posizione privilegiata (attacchi MITM) beh knockd e' assolutamente inutile! quindi di sicuro knockd NON e' la soluzione a tutti i mali, ma almeno si tolgono dai piedi la maggior parte degli attacchi. Ovviamente tutto quello che ho detto e' IMHO e siccome non sono un super-esperto di sicurezza e' da prendere con le pinze! Ciao
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
02-10-2005, 13:57 | #22 | |
Senior Member
Iscritto dal: Jun 2001
Città: Alessandria (provincia)
Messaggi: 4772
|
Quote:
Se poi aggiungiamo che al 99% è più importante complicarsi la vita per proteggere un server in produzione che il serverino emule in casa, si potrebbe arrivare a questa conclusione: 1) In casa non vale la pena di complicarsi troppo la vita con Knockd 2) Su un server serio knockd porta più rischi che benefici Conclusione: serve knockd? |
|
02-10-2005, 19:26 | #23 |
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 256
|
davvero un ottimo lavoro...complmenti!!!
mi iscrivo al topic!
__________________
|
02-10-2005, 20:50 | #24 | |||
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Quote:
Quote:
In alternativa io chiudo la porta dell'ssh e uso openvpn, sul server accetto solamente connessioni verso una porta specifica (quella di openvpn) che hanno come sorgente un'altra porta specifica (e quindi anche in questo caso uno scan non rivela il server openvpn) poi accedo con ssh via tunnel vpn... ovviamente questo e' piu' sicuro, ma comporta decisamente del lavoro in piu'. Quote:
Ovviamente prima di knockd ecc. meglio che il server sia configurato per il verso giusto, e che le password usate dai vari utenti siano forti e non ciccio pluto o paperino! Ciao
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|||
09-03-2007, 10:49 | #25 |
Senior Member
Iscritto dal: Aug 2001
Messaggi: 1194
|
Complimenti per la guida.
Nella configurazione ssh è possibile configurare che un utente acceda solo da un determinato ip, tipo utente1@@192.168.0.10. E' possbile legare questo ip al mac address della scheda di rete? |
09-03-2007, 11:08 | #26 | |
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
grazie!
Quote:
se quello che vuoi e' che ssh al posto dell'ip vada a controllare il mac address, allora non puoi farlo, dovresti buttarti su iptables (ma allora va al becco la possibilita' di configurare gli accessi per utente), poi ricordo che se uno vuole "fregarti" per cambiare il mac address di una scheda di rete e' faccenda di 5 minuti. Se invece quello che vuoi e' che lo stesso pc (quindi il dato mac address) abbia sempre lo stesso ip, allora devi configurarti un server dhcp (se hai un router, dovrebbe avere un server dhcp e dovrebbe essere facile da configurare) Ciao
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
09-03-2007, 12:44 | #27 |
Senior Member
Iscritto dal: Aug 2001
Messaggi: 1194
|
Mi sono spiegato male.
So che si può cambiare il mac address. Quello che volevo otterene io era questo: Il pc in ha un ip fisso, quindi niente dhcp. Utente1 legato ad un certo ip e legato al mac address della scheda. Quindi se l'untente cambia PC, mette lo stesso ip non riesce ad autenticarsi. Da quello che ho capito ssh non riesce a controllare il mac address quindi, dovrei far controllare ip e il mac address a iptables e poi utente1 a ssh. Comunque volevo sapere solo se era fattibile. |
12-03-2007, 05:36 | #28 |
Member
Iscritto dal: Jul 2002
Città: Treviso
Messaggi: 231
|
Ciao Hex, grazie mille per la guida, è scritta davvero bene
__________________
|
12-03-2007, 09:51 | #29 |
Senior Member
Iscritto dal: Feb 2003
Città: Formia
Messaggi: 1545
|
Ciao,
complimenti per la guida. Diciamo che io sono uno che controlla spesso il log. Volevo chiederti un cosa. Ho un server linux virtuale su arua e costantemente ricevo tentativi di intrusione via ssh. come questi Mar 9 02:49:16 62 sshd[32245]: Failed password for invalid user mona from 87.106.102.165 port 45015 ssh2 Mar 9 02:49:16 62 sshd[32387]: Invalid user mona from 87.106.102.165 Mar 9 02:49:19 62 sshd[32387]: Failed password for invalid user mona from 87.106.102.165 port 45097 ssh2 Mar 9 02:49:19 62 sshd[32544]: Invalid user monika from 87.106.102.165 Mar 9 02:49:22 62 sshd[32544]: Failed password for invalid user monika from 87.106.102.165 port 45179 ssh2 Mar 9 02:49:22 62 sshd[32680]: Invalid user monika from 87.106.102.165 Mar 9 02:49:24 62 sshd[32680]: Failed password for invalid user monika from 87.106.102.165 port 45257 ssh2 Mar 9 02:49:25 62 sshd[1428]: Invalid user monoko from 87.106.102.165 Mar 9 02:49:27 62 sshd[1428]: Failed password for invalid user monoko from 87.106.102.165 port 45337 ssh2 Mar 9 02:49:28 62 sshd[1626]: Invalid user moriko from 87.106.102.165 Mar 9 02:49:30 62 sshd[1626]: Failed password for invalid user moriko from 87.106.102.165 port 45419 ssh2 Mar 9 02:49:31 62 sshd[1814]: Invalid user moriko from 87.106.102.165 Mar 9 02:49:33 62 sshd[1814]: Failed password for invalid user moriko from 87.106.102.165 port 45501 ssh2 Mar 9 02:49:34 62 sshd[1969]: Invalid user morita from 87.106.102.165 Mar 9 02:49:36 62 sshd[1969]: Failed password for invalid user morita from 87.106.102.165 port 45588 ssh2 Mar 9 02:49:37 62 sshd[3144]: Invalid user morita from 87.106.102.165 Mar 9 02:49:39 62 sshd[3144]: Failed password for invalid user morita from 87.106.102.165 port 45673 ssh2 Mar 9 02:49:40 62 sshd[3327]: Invalid user moritz from 87.106.102.165 Mar 9 02:49:42 62 sshd[3327]: Failed password for invalid user moritz from 87.106.102.165 port 45755 ssh2 Mar 9 02:49:43 62 sshd[3485]: Invalid user moritz from 87.106.102.165 Mar 9 02:49:45 62 sshd[3485]: Failed password for invalid user moritz from 87.106.102.165 port 45833 ssh2 Mar 9 02:49:46 62 sshd[3604]: Invalid user muie from 87.106.102.165 Ora volevo chiederti c'è un modo per inibire ip per in tot di tempo dopo che l'utente ha avuto Failed password per tre volte consecutive? Grazie
__________________
Il portale delle infomazioni di Latina e Provincia Giralatina.it e’ nato con il preciso intento di promuovere varie attività che si svolgono nella provincia di Latina http://www.giralatina.it Il Blog dei Pendolari http://www.giralatina.it/blog/mybloggie/index.php |
12-03-2007, 10:14 | #30 | |
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Quote:
http://denyhosts.sourceforge.net/ Ciao
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
29-06-2008, 17:39 | #31 |
Member
Iscritto dal: Apr 2006
Messaggi: 49
|
Ciao a tutti! Ho un piccolo problema che a mio parere, da quello che ho letto, non avrete problemi ad aiutarmi a risolvere.
La mia connessione ad internet è nattata (Fastweb), avrei bisogno di rendere pubblica una porta in particolare, per la precisione la 12000. Non ho particolari esigenze di banda, quindi credo che un tutnnel ssh possa essere adeguato! Fino a qua tutto ok, non avrei particolari problemi nell'implementare un tunnel verso un altro utente, il mio problema nasce nel momento in cui non debbo aprire la connessione verso un particolare utente. Mi servirebbe un indirizzo pubblico che faccia un forward verso il mio server e accetti connessioni da parte di chiunque! Dopo svariate ricerche mi è parso di capire che potrei seguire 2 strade per ottenere questo: 1) Installare lo stack ipv6 ed avere un ip pubblico ipv6 perfettamente funzionante 2) Aprire un tutnnel ssh verso un server che mi fornisca un ip pubblico Nel primo caso credo che la strada sia impraticabile dato che i vari client sarebbero tutti ipv4 e io non avrei la possibilità di far installare a loro ipv6, in quanto l'applicativo gira su una macchina linux con un processore powerpc abbastanza vecchio.. La seconda strada invece è sicuramente più percorribile in quanto su questa macchina linux gira nativamente ssh e opnvpn, ho trovato questo sito : http://www.red-pill.eu/freeunix.shtml che offre la possibilità di avere una shell gratuitamente. Teoricamente con questi mezzi dovrei poter fare quello che mi serve ma mi sono perso in un bicchiere d'acqua.. Qualcuno saprebbe aiutarmi??? |
18-11-2008, 07:58 | #32 |
Senior Member
Iscritto dal: Feb 2001
Città: San Marino
Messaggi: 9869
|
fantastico howto, era poprio quello che cercavo.
ho un paio di dubbi però: - le chiavi devo crearle pure sul server? Questo ho risolto, non server crearle. - perchè dici di fare un collegamento root->root e non utente -> root? cioè non capisco la differenza, non è meglio loggarsi come utente e poi se necessario elevarsi a root? - in altre guide ho visto che bisogna modificare pure il file ssh_config per utilizzare anche la pass, è necessario oppure basta seguire il tuo howto? - come faccio ad aggiungere più chiavi pubbliche al file authorized_keys? grazie ciao Ultima modifica di buglis : 18-11-2008 alle 14:18. |
19-11-2008, 10:28 | #33 |
Senior Member
Iscritto dal: Aug 2003
Città: /dev/zero
Messaggi: 666
|
Una piccola aggiunta... io quando devo copiare la chiave sul server di destinazione invece di scp e cat >> utilizzo il comando ssh-copy-id user@host... mi risparmia un po di lavoro
__________________
Powered By Imac 27" , iPhone X and watch Series 5 Si sono un apple fan |
02-12-2008, 13:35 | #34 | ||||
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Ciao, per prima cosa mi scuso per il ritardo... ma ultimamente sono un "po" occupato!
Quote:
nel mio caso devo gestire tipo una decina di server... supponiamo di fare un lavoro semplice semplice come aggiornarli (sono server debian). se accedo direttamente al server come root posso usare un bel cssh e lanciare i comandi contemporaneamente su tutte le macchine... se prima di fare questo devo immettere 15 volte la pass da root delle singole macchine, divento matto. conta che lancio il tutto dentro uno screen, e cosi so che in quella console ci girano tutte le cose da root che siano in locale o sui server. In questa maniera evito di fare cazzate (nel senso che in quella console non ci girano mezze cose da utente e mezze da root, ma solo da root... quindi non ti confondi con utenti vari... e ti assicuro che dopo 10 ore di lavoro e' facile prendere un # per un $ o viceversa ) Quote:
per rispondere velocemente alla domanda: no non serve toccarlo! Quote:
prego Quote:
Comunque ci sarebbero un po di cose da aggiungere all'howto (se ho tempo), tipo poter mettere delle impostazioni per user e la modalita' internal-sftp con chroot http://undeadly.org/cgi?action=artic...20080220110039
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
||||
02-12-2008, 13:49 | #35 | |
Senior Member
Iscritto dal: Aug 2003
Città: /dev/zero
Messaggi: 666
|
Quote:
__________________
Powered By Imac 27" , iPhone X and watch Series 5 Si sono un apple fan |
|
02-12-2008, 14:08 | #36 |
Senior Member
Iscritto dal: Feb 2001
Città: San Marino
Messaggi: 9869
|
|
03-02-2009, 10:55 | #37 |
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
ho aggiunto il modo per creare vpn con ssh
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
17-02-2010, 23:39 | #38 |
Senior Member
Iscritto dal: Jan 2006
Messaggi: 749
|
Ciao ,
inaznitutto grazie per le tue preziose info . In particolare per vpn e ssh , ottime info. Il mio problema è che non devo creare vpn di tipo point2point tra due macchine , ma con N macchine ed 1 server . In pratica devo far in modo che gli N client , passando per il server ( che ha IP pubblico) possono collegarsi direttamente . Dovrei quindi adottare una vpn di tipo layer 2 / ethernet , avete qualche drita da darmi? So che andrebbe inizializzato il dispositivo virtuale tap invece del tan , e per farlo , su ogni client va inserita nel file /etc/ssh/ssh_config la direttiva Codice:
Tunnel ethernet Ciao Pierpaolo |
18-02-2010, 15:37 | #39 | |
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Quote:
io ti sconsiglio vivamente ssh per usarlo come VPN "seria"... ti consiglierei di mettere su una vpn con openvpn, che per fare cose piu' "complicate" va decisamente meglio... altrimenti per una vpn tipo hamachi, puoi provare ad usare http://www.ntop.org/n2n/ io mi ci sono trovato bene per fare qualche cavolata... comunque la cosa migliore resta openvpn!
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
21-02-2010, 22:43 | #40 |
Senior Member
Iscritto dal: Jan 2006
Messaggi: 749
|
diciamo che opnevpn non mi fa impazzire.....
n2n l'ho provato ma non mi da una super impressione di stabilita!!! |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 09:06.