LINUX.ORG.RU
ФорумAdmin

Как проверить настройку ssh2 и отключение логина по паролю?

 , , , ,


0

2

Провел ряд действий по повышению безопасности на сервере: -установил модуль ssh2 -перевесил порт для ssh с 22 на 20111 -закрыл лишние порты, оставил только 80, 443, и 20111 -отключил логин по root -отключил логин по паролям, сделал логин по ключам.

Какие есть способы убедиться, что это работает? Пока знаю лишь два способа - просканировать порты nmap'ом и пробовать зайти на сервер по putty

OpenVPN bridge
qcow2 vs raw
Ответ на: комментарий от mrblond

Гуглить «security by obscurity» и почему это плохо.

beastie ★★★★★
()

перевесил порт
закрыл лишние порты

telnet yourserver.com 22

Если скажет, что Connection Refused, значит порт закрыт.

отключил логин по root

попробовать зайти под рутом:

ssh root@yourserver.com

отключил логин по паролям

ssh -o PubkeyAuthentication=no yourserver.com

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)

перевесил порт для ssh с 22 на 20111

А в чем смысл? Просканировать твои порты nmap'ом любой мамкин какер сможет. Скорее всего они именно это в первую очередь и делают.

Unicode4all ★★★★★
()
Ответ на: комментарий от beastie

Сразу видно безусловные рефлексы в действии, вместо анализа ситуации сразу шаблонный ответ про security by obscurity
Давай сюда 10 аргументов почему это security by obscurity именно для этого конкретного случая и свободен

zolden ★★★★★
()
Ответ на: комментарий от zolden

Тут достаточно одного аргумента — это абсолютно бесполезное ёрзание на месте, характерное для «маминых какиров», дающее +0 к фактической безопасности и +100 к собственному геморрою.

Я уже «несколько десятилетий» ничего не слышал про «взломы» напрямую через ssh. На тупых ботов можно просто не обращать внимание. Пришли-подолбились-ушли. Кому они мешают?

А те, кому надо, найдут и 20111 с пол-пинка. (Хоть проку с этого и небудет, но пусть находят.)

Т.ч. к чему это?

Ну, давайте переопределим все порты и будем мнить себя в безопастности, наивные.

beastie ★★★★★
()
Ответ на: комментарий от beastie

Мне боты мешают, например. Грузят сеть и сислог(диск). Загаживают логи.

leave ★★★★★
()
Ответ на: комментарий от beastie

На одной из моих прошлых работ,девы логинились на сервки изза того, что работы было много, а админ один. Синхронизировать картинки с пролакшена в стейдж дело несложное. Девы «сисадминскую параною» не понимают и ставят легкие пароли, которые брутфорсятся, так что, сменить порт ssh не такая уж плохая идея в некоторых запущенных случаях, по крайней мерк временно, пока не настроился паппет со списком авторизированных ключей.

Murg ★★★
()
Ответ на: комментарий от beastie

дающее +0 к фактической безопасности

Причём здесь безопасность? Это не для безопасности делается и SbO тут совершенно не причём. Это оберегает от 99.999% тупых ботов, которые пробуют стучаться на 22 порт и только логи засирают.

redgremlin ★★★★★
()
Ответ на: комментарий от redgremlin

Изначальное утверждение было, что это, якобы, для повышения безопастности.

И с какого это препугу логи жалеть надо? Наоборот даже полезно. Сразу видно who-is-who.

На одном из моих хостов, по молодости было настроенно (pf): постучался 3 раза в минуту на 22 не по делу — в баню на сутки весь IP автоматом. ;) До сих пор работает без нариканий.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
OpenVPN bridge
Admin
qcow2 vs raw