Как вам такой подход

Гениально! Как это никому раньше в голову не пришло?..

Особенную пикантность всему этому добавляет дырявый глючный PPTP, который из-за ната вполне возможно тупо не заработает.

Гениально! Как это никому раньше в голову не пришло?..
Много пишут в последнее время про SSH по ключам ...

Ясен перец что это очевидный подход. Но зачем премудрости с ключами ? Я это пытаюсь понять.

Особенную пикантность всему этому добавляет дырявый глючный PPTP, который из-за ната вполне возможно тупо не заработает.

NAT в 99% не проблема, Ростелеком иногда блочит GRE - это проблема :( Но доступность клиентов PPTP перевешивает минусы. Понятное дело что для важных задач OpenVPN поднят, но если надо срочно из под ооффтопика решить проблему - PPTP это единственный, на мой взгляд, вариант.

Да и про файрволл не забываем: с подсетки из который pptpd выдает адреса разрешаем только 22-ой порт на сам сервер. Взлом PPTP (дыра) - взлом сервера (Bruteforce) - взлом удаленного сервера (Bruteforce)

22-ой порт открыт только для моего рабочего компа и нескольких серверов

Потом что-то случается и тебе надо срочно подключиться удалённо попивая мохито у бассейна в отпуске. А хй

Во всех ОС (в т.ч. ИксПи) нынче есть поддержка l2tp over ipsec из коробки, используй его если видишь смысл в таком подходе. Он и через любой нат пролазит (ибо просто удп в режиме нат-т) и безопасен.

А так твои проблемы решаются переносом ssh на другой порт и\или порт-кнокингом.

а можно просто сменить порт 22 на 100500 и будешь спокоен за свой отпуск

Гыгы, ща начнётся бугурт любителей дефолтных портов :)

NAT в 99% не проблема

Реально NAT для pptp это очень серьезная проблема в куда большем проценте случаев чем 1%

Но доступность клиентов PPTP перевешивает минусы. Понятное дело что для важных задач OpenVPN поднят, но если надо срочно из под ооффтопика решить проблему - PPTP это единственный, на мой взгляд, вариант.

А вот тут уже возникает ооочень интересный «нюанс». Следуя из выше изложенного предполагается ситуация, что бывает срочно нужно подключиться по ssh с чужой машины работающей под оффтопиком. При этом исходя из фразы «Но доступность клиентов PPTP перевешивает минусы» такое случается гораздо чаще чем почти никогда.
Машинка чужая, и работает ли так какой-нидь кейлогер (учитывая что это офффтоп) мы не знаем, при этом настраиваем родного vpn клиента, да еще во времена диалапа это место вирями палилось в первую очередь. Подсказать что шансы утечки данных «чуть выше» 0000.1%? И все это проделывать при условии что не факт что заработает.

Исходя из ваших вводных. Под офтопом один фиг ssh клиента нет, т.е. скачивать надо. Ну что мешает скачать тот же openvpn (заблаговременно выложенный в нужном месте) с доступом так же по паролю?
Это я только про скачивание написал, а раз уж такая необходимость возникает, вообще-то архивчик с собой можно таскать например на том же телефоне.

а можно просто сменить порт 22 на 100500 и будешь спокоен за свой отпуск
на 100500

а прикиньте если он пробовать в отпуске начнет? Какой уж тут «спокоен за свой отпуск» - перенервничает парень :)

годный совет. гипердинамические TCP-порты (>= 2^16) вообще никто сканировать не будет. отключи PPTP, перевесь все сервисы на них — будешь неприступен, как форт неуловимого ССЗБ.

Везде парольная авторизация.

Почему не ключи?

Во всех ОС (в т.ч. ИксПи) нынче есть поддержка l2tp over ipsec из коробки, используй его если видишь смысл в таком подходе. Он и через любой нат пролазит (ибо просто удп в режиме нат-т) и безопасен.

Спасибо, попробую на днях.

А так твои проблемы решаются переносом ssh на другой порт

И Вам и остальным советчикам: например nmap -sV -sT ${host} категорически не согласен со сменой порта. Защита от дурака - да, защита от конкретной атаки - вряд ли.

и\или порт-кнокингом.

Зачем усложнять себе жизнь когда есть проще варианты ?

а можно просто сменить порт 22 на 100500 и будешь спокоен за свой отпуск

Ну смени на 100500, я хоть поржу :) hint: порт по номеру DWORD

Ну смени на 100500, я хоть поржу :) hint: порт по номеру DWORD

Пока все ржут над тобой.

порт по номеру DWORD

Мы все хотим ржать. Нука поясните.

Вы ситуацию описали правильно. На флэшке есть putty.exe, или он скачивается за минуту.Ставить каждый раз OenVPN на машине клиента я не считаю правильным подходом. На той же флэшке есть OpenVPN клиент, его можно стартануть, но речь шла о нативных вариантах. Да и флэшка не всегда с собой.

Дальше: тоже openvpn никак не защитит от кейлоггера: пароль рута все равно надо вводить.

Бобер! Выдыхай!! Выдыхай!!!

Извиняюсь, WORD, буква «D» лишняя. 100500 явно больше чем 65535, над этим я посмеялся: в протоколе двумя байтами описывается номер порта

Ставить каждый раз OenVPN на машине клиента я не считаю правильным подходом.

Хм а ставить зачем? Запуска из cmd (одним скриптом) при котором он установит tap, а по завершению удалит его никак?

я не считаю правильным подходом

А ручками настроить «на машине клиента» pptp (на что уйдет гораздо больше времени чем старт openvpn) это правильный подход? При том что можно еще потом забыть его удалить.

Дальше: тоже openvpn никак не защитит от кейлоггера:

1. Защитит, еще сертификаты нужны.
2. Так же защитит, я писал про родной клиент винды, многие вири собирают инфу избирательно, т.е. по «модно» используемым приложениям (что логично, собирать вообще весь мусор ненужно).

Наливай крепенькую, ник соответствует :)

https://ru.wikipedia.org/wiki/+100500

Наливай крепенькую, ник соответствует :)

а твой ник соответствует только тому что ты 0

Спасибо, пошел допиливать свой скрипт старта OpenVPN: {ин,ан}сталл TAP я не учел :(

Сертификат разумеется на флэшке и останется.

Первый реальный совет в топике, спасибо ! С наступающим Вас !

Спасибо, пошел допиливать свой скрипт старта OpenVPN: {ин,ан}сталл TAP я не учел :(

Он там вообще-то в коробке идет. Так же как и анинстал. Странно что не заметили.
В качестве рекомендации, пути к ключам используйте относительные (я их в cmd файле старта передаю параметром к openvpn, а не в конфиге) получается очень «красиво», т.е. воткнул флэшку стартанул cmd файл, по F4 вышли и интерфейс удалился.
Вас так же с Наступающим!

22-ой порт открыт только для моего рабочего компа и нескольких серверов.

Возможность ограничения доступа по IP была всегда, тут ничего нового.

Если ВНЕЗАПНО хакнут мой комп или один из серверов - пароль для доступа к другому никто не отменял.

Если машину взломают, первым, что на неё зальют, будет троян-кейлогер.
И вообще, использовть SSH-клинент на недоверенных хостах — сумасбродство, если только там не одноразовые пароли.

А чем плохи ключи, а? Не надо вводить пароль каждый раз (по крайней мере на доверенной машине, если таскать ключи на флешке есть смысл использовать пароль для ключа). Включены по умолчанию, надо лишь отключить авторизацию по паролям одной строчкой в конфиге sshd.

Проблемы только с тем, что чьё-то эстетическое чувство задевает множество записей в логах о неудачных попытках ботов авторизоваться (практической угрозы это не несёт из-за ротации логов, поэтому место на диске не кончится). Но раз ты такой эстет, можешь заморочиться с fail2ban.

Настройка всех этих твоих VPN куда сложнее. Да и NAT используют многие провайдеры на самом деле. Почти 100% мобильных. Так что нерабочий PPTP это вполне реальная угроза, а не «1% случаев».