SSH, его логи и актуальные настройки 2017

Честно от запроса просто поперхнулся. Но:

Как пробиться по такой схеме: Хост1 == Роутер (NAT0) == Провайдер-NAT1 == Интернет == Провайдер-NAT2 == Хост2 Что посоветуете в этой ситуации?

Напрямую никак. Нужен промежуточный, с белым ip.

Какой сервер и клиент посоветуете? (Выбор я уже сделал, но вдруг удивите :))

Вот тут просьба: удивите нас плиз.

Как пробиться по такой схеме: Хост1 == Роутер (NAT0) == Провайдер-NAT1 == Интернет == Провайдер-NAT2 == Хост2 Что посоветуете в этой ситуации?

Рекомендую Tor Hidden Service

Разбираюсь с технологией SSH(2)

Молодец.

Какой сервер и клиент посоветуете?

openssh

Какие актуальные поправки в настройках клиента и сервера на 2017 год

сюда

Чем смотреть и изучать логи?

nano

Как заставить логи писать в отдельный журнал, а не в системный? (Чтобы все логи связанные с SSH были в другой директории, хотя бы временно, для изучения технологии)

Вот скажи, зачем тебе гемор? Оно работает(логирует) не трогай.

На что обратить внимание при анализе лога? (Какие признаки попыток вторжения, кроме многих попыток ввода пароля)

Вот тут не понял чего ты хочешь.

Мне по сути от SSH нужны прежде всего операции с файлами

Тебе файло-помойка нужна или что? Если да, то тебе FTP нужен.

Если да, то тебе FTP нужен.

В помойку FTP. SFTP полностью заменяет его.

В помойку FTP. SFTP полностью заменяет его.

Почему? Аргументы.

1. Работает из коробки. 2. Безопасность (шифрование по умолчанию уже есть) 3. Авторизация по ключам 4. Меньше геморроя с разрешением подключения в фаерволле (у ftp всегда больше одного соединения)

1. Работает из коробки.

Не доказывает его преимущество, скорее даже минус.

Безопасность (шифрование по умолчанию уже есть)

Ну а в чем проблема прикрутить, и насколько я знаю vsftpd тоже поддерживает, главное настроить так как НУЖНО АДМИНУ.

3. Авторизация по ключам

Тоже есть.

4. Меньше геморроя с разрешением подключения в фаерволле

Согласен с vsftpd нужно будет повозиться.

(у ftp всегда больше одного соединения)

Тут не понял, вы намекаете на то, что по ftp с одним ресурсом может быть только одно подключение?

Честно от запроса просто поперхнулся

У Вас всё в порядке? Что Вас так напугало если не секрет? :)

Вот тут просьба: удивите нас плиз

А я и не говорил что удивлю, Вы возможно знаете больше в этом вопросе, я пришёл за ответом, поэтому Вам и творить чудеса :)

Рекомендую Tor Hidden Service

Спасибо, посмотрю

nano

Он имеет функцию подсветки? Хотя бы время другим цветом

Вот скажи, зачем тебе гемор?

Для удобного просмотра, мне не нужны логи всего сразу, мне именно сообщения от SSH нужны только

Вот тут не понял чего ты хочешь.

Анализ на наличие подозрительной активности, вдруг кто левый подключился

Тебе файло-помойка нужна или что?

Пока да, но иногда нужно и обновить систему например, удалённые команды то есть, поэтому именно SSH нужен, там вроде есть встроенный FTP

Кстати вопрос ещё, чем встроенный FTP отличается от SSHFS?

Я не знаю какой вопрос толще.

кроме многих попыток ввода пароля

В 2017 разумные люди первым делом отключают авторизацию по паролю и включают авторизацию по ключу. В этом случае логи можно даже не смотреть.

Кстати вопрос ещё, чем встроенный FTP отличается от SSHFS?

Ну а логика где? Встроенный это встроенный со своей реализацией, а FTP есть куча вариантов серверов.

Вы подразумеваете 100% безопасность? Прям совсем проверять не нужно? Я переживаю что что-нибудь неправильно настрою пока учусь

Ника учиться без ошибок и умозаключений.

Ну а логика где? Встроенный это встроенный со своей реализацией, а FTP есть куча вариантов серверов.

То есть Вы хотите сказать что разницы между встроенным FTP и SSHFS нет?

Ника учиться без ошибок и умозаключений

А то сами таким не были раньше

Нет. Разница в том, что FTP это протокол, а SSHFS это клиентская программа для передачи файлов по протоколу SFTP, который имеется в поставке openssh.

Не доказывает его преимущество, скорее даже минус.

В чём же минус?

Ну а в чем проблема прикрутить, и насколько я знаю vsftpd тоже поддерживает, главное настроить так как НУЖНО АДМИНУ.

Есть обёртки FTPS, FTPES, но прикрутить их надо вручную, чего не скажешь про sftp, а если нет разницы, то зачем лишние движения в консоли?

Тоже есть.

Тут может быть вы и правы. Точно не уверен был.

Тут не понял, вы намекаете на то, что по ftp с одним ресурсом может быть только одно подключение?

Для передачи данных FTP использует отдельное соединение.

vsftpd

Скажите, а автор этого поделия уже починил раздачу сорцов? В прошлый раз когда я пытался скачать исходники с сайта, оно настойчиво требовало логин и пароль.

Тут на другом форуме посоветовали IPv6, он сможет пробить 2 NAT?

• Отключить SSH1 (по-умолчанию он отключён уже давно), настроить авторизацию по ключам и отключить методы аутентификации password и keyboard-interactive.

  Смена слушающего порта с 22 на другой, с одной стороны, значительно уменьшит количество мусора от брутфорсящих ботов (вплоть до полного исчезновения) и вероятность взлома в случае обнаружении уязвимости в SSH-сервере, с другой стороны, от целенаправленных атак это не спасёт, и усложнит немного схему, нужно будет помнить или хранить записанными нестандартные порты на каждый SSH-сервер.

  Смену порта можно заменить или скомбинировать с port-knocking, что, практически избавит от тупых ботов, но не является 100% защитой от обнаружения. Воспринимай это как ещё один инструмент повышения защиты ценой внесения сложности и неудобства в схему.

  И не стоит забывать о SELinux/AppArmor и других песочницах.

• Для syslog есть старые, но удобные программы http://www.softpanorama.org/Logs/log_viewers.shtml

  Или у тебя systemd-journald?

  Для реального времени: tail -f или journalctl -f в комбинации с grep/awk

• Как заставить логи писать в отдельный журнал, а не в системный?

  А какой у тебя логгер? И разве не хватает обычного grep, чтобы отфильтровать логи конкретно SSH-сервера?

• На что обратить внимание при анализе лога?

  На успешные попытки аутентификации и адреса, с которых они производились.
• Для пробивания через обоюдный NAT я использую туннели IPv6, получая таким образом маршрутизируемый в сети Интернет («реальный») адрес IPv6.
• Касаемо клиентов — ничего, кроме OpenSSH, я не использую, и другого посоветовать не могу, а что касаемо серверов — OpenSSH для обычных задач и Dropbear для embedded или initramfs (чтобы удалённо расшифровать рут, например, или для аварийного подключения, если рут сломался и система дальше initramfs не грузится и нет IP KVM)

Для реального времени: tail -f или journalctl -f в комбинации с grep/awk

В случае systemd-journald это не нужно: journalctl -u sshd.service фильтрует всё порожденное unit'ом sshd.

Точно, спасибо за дополнение.

Про hardening рекомендую https://stribika.github.io/2015/01/04/secure-secure-shell.html

Нет.

Чем смотреть и изучать логи?

ELK.

Но если тебе нужно вот это:

Он имеет функцию подсветки? Хотя бы время другим цветом

То Emacs и syslog-mode.

Как заставить логи писать в отдельный журнал, а не в системный? (Чтобы все логи связанные с SSH были в другой директории, хотя бы временно, для изучения технологии)

Это зависит от твоего syslog сервера. Для rsyslog будет что-то типа:

if $programname == 'sshd' then /var/log/ssh/sshd.log

Какой сервер и клиент посоветуете?

openssh.

Какие актуальные поправки в настройках клиента и сервера на 2017 год?

man sshd_config

Плюсую «Secure Secure Shell». Всё остальное из вопроса ТСа даже не знаю, как рассматривать. Зачем ты усложняешь? Оно просто ставится и работает.

Сделай вдоль. Ты еще не знаешь из за чего можно переживать.

Сделай вдоль. Ты еще не знаешь из за чего можно переживать.

Сделай вдоль. Ты еще не знаешь из за чего можно переживать. Можешь тупить в эти логи 24/7.