Ограничение попыток аутентификации

Попробуйте sshguard.

смени порт с дефолтного 22го, на

echo $RANDOM

как задать ограниченную подсеть IP, с которой можно авторизовываться?

Как-то так

/sbin/iptables -A INPUT -p tcp ! -s 192.168.0.0/24 -j DROP

Средствами PAM примерно так можно /etc/security/access.conf.

+:root:192.168.0.0/24
+:emissar git (sftponly):ALL
+:(crontab):cron
-:ALL:ALL

emissar

как задать ограниченную подсеть IP, с которой можно авторизовываться?

ListenAddress
             Specifies the local addresses sshd(8) should listen on.  The following forms may be used:

                   ListenAddress host|IPv4_addr|IPv6_addr
                   ListenAddress host|IPv4_addr:port
                   ListenAddress [host|IPv6_addr]:port

             If port is not specified, sshd will listen on the address and all prior Port options specified.  The default is to listen
             on all local addresses.  Multiple ListenAddress options are permitted.  Additionally, any Port options must precede this
             option for non-port qualified addresses.

не? лично мне порта нестандартного хватило. Ну и авторизация по ключу на всякий случай.

лично мне порта нестандартного хватило. Ну и авторизация по ключу на всякий случай.

Подскажи, как сменить порт? И что дает авторизация по ключу? А то я в администрировании как-то не особо.

man sshd_config

сначала настрой в ssh AllowUsers.
и потом fail2ban.

sshd_config
Port: [younewport]

Авторизация по ключу даёт надёжность, в смысле затруднённости брутфорса(подбора) пароля. Но накладывает ограничение, т.к. надо не протерять файл с ключОм.

Нагуглил, что после смены порта нужно выполнить:

killall -1 sshd

но, насколько мне известно - killall убивает процесс и потом я по ssh вообще не смогу зайти. service sshd restart - прокатит?

emissar

Подскажи, как сменить порт?

да, man sshd_config, конкретнее ищи Port.

emissar

И что дает авторизация по ключу?

у тебя на машине будет лежать секретный ключ, который никогда никуда не передаётся. С помощью этого секретного ключа ты можешь доказать серверу, что ты - это ты. И пароль вводить не нужно будет, а следовательно, пароль будет не подобрать. Секретный ключ == обычный файл в каталоге ~/.ssh, и ещё есть публичный. Этот публичный на сервер надо отправить (он не секретный, хоть здесь выкладывай).

Если ты боишься, что твой комп взломают, и секретный ключ украдут, можешь зашифровать секретный ключ паролем(который придётся набирать при каждом входе).

killall -1 ничего не убивает, а просто заставляет демон перечитать свой конфиг.

Ааааа, спасибо. Еще мне нужно, наверное, настроить sftp, чтобы авторизация в фтп была по ключу?

Да, я так и делаю. Сеанс остаётся активным.

emissar

настроить sftp, чтобы авторизация в фтп была по ключу?

ессно. проще всего сделать на клиенте файл ~/.ssh/config, в котором прописать все параметры для входа. man ssh_config

тогда для входа нужно набрать просто имя хоста (сам придумывай любое)

Если ты боишься, что твой комп взломают, и секретный ключ украдут, можешь зашифровать секретный ключ паролем(который придётся набирать при каждом входе).

А можно зашифровать серкетный ключ следующим секретным ключём ))

dada

настрой в ssh AllowUsers.
и потом fail2ban.

и нахуа?

Упс. Сменил порт на 89343. Теперь при попытке входа

$ ssh -p 89343 root@xx.xx.xx.xx

вылазит:

Bad port '89343'

Это конец?:(

AllowUsers для защиты.
fail2ban - защита + чистый messages
В чём проблема ?

Это конец?:(

Ты же в iptables не забыл открыть этот порт ?

Yustas

А можно зашифровать серкетный ключ следующим секретным ключём ))

конечно. Например с помощью GnuPG. Только расшифровывать запаришься, да и смысла нет никакого (хотя вру, смысл есть - можно сделать автоматический бекап на любом открытом хостинге файлов. Ведь при бекапе нужен публичный ключ, которым файл так зашифруется, что его хрен расшифруешь без секретного, и этот секретный ключ можно выложить в свободный доступ, на случай, если потеряется оригинал (ну HDD сдохнет к примеру). Правда надо помнить тот секретный ключ, которым зашифрован первый)

Портов всего ~64000? ставь 18000+

emissar

Это конец?:(

не. Конец это 65535, больше нельзя.

dada

AllowUsers для защиты.
fail2ban - защита + чистый messages
В чём проблема ?

защита от чего? боты не будут тыкаться в рандомный порт, можешь сам проверить.

Какие слова :D не забыл, а не знал. Делал по ману из гугла. Через webmin можно как-то сменить обратно порт ssh?

http://www.break-people.ru/cmsmade/index.php?page=unix_webmin_practice_webmin...

Все ок, через вебмин сменил порт на дефолтный.

Bad port '89343'

Это конец?:(

О Боже. Кто тебя к серверу допустил..
Про 65536 выше уже сказали..

О Боже. Кто тебя к серверу допустил.

Ну я вообще программист PHP и линукс на уровне пользователя знаю, с администрированием не очень. :)

emissar

Все ок, через вебмин сменил порт на дефолтный.

блжд... выполни ты echo $RANDOM в консоли, и не мучайся. Если у тебя bash, то оно тебе даст случайное число 0..32768, ну если будет <1024, то повтори команду (<1024 лучше не надо, хотя можно, чтоб врага запутать)

emissar

Ну я вообще программист PHP

тогда выполни
echo «<?php echo rand(1024,65536); ?>» | php

тогда выполни
echo «<?php echo rand(1024,65536); ?>» | php

:D хватит издеваться. С портом решил задачу. Сейчас нужно настроить sftp, поможете?

emissar

Сейчас нужно настроить sftp, поможете?

повторяю: проще всего сделать на клиенте файл ~/.ssh/config, в котором прописать все параметры для входа. man ssh_config

тогда для входа нужно набрать просто имя хоста (сам придумывай любое)

и да, это работает не только с sftp, но и с ssh, scp, sshfs и вообще.

А то что вебмин могут похакать ты не боишься?

Я предпочитаю админить через впн.

Сменил порт на 89343. Это конец?:(

это не конец, это другой -ец.
портов всего 65535

Я воспользовался утилитой:

ssh-keygen -t rsa

cкопировал файл на диск к себе, для теста, добавил его в файлзилле в список ключей. Пытаюсь соединиться, не вписывая пароль, пишет:

Ответ: fzSftp started Команда: keyfile «/var/www/passkey» Команда: open «xxx@xxx.ru» 12743 Команда: Pass: Ошибка: Сбой аутентификации. Ошибка: Критическая ошибка Ошибка: Невозможно подключиться к серверу

И да, кстати, файлзилла сообщила мне о своей невозможности работы с запароленными ключами и конвертировала в ключ без пасскея.

emissar

Я воспользовался утилитой: >ssh-keygen -t rsa cкопировал файл на диск к себе, для теста, добавил его в файлзилле в список ключей. Пытаюсь соединиться, не вписывая пароль

нихрена не понял. Что там на сервере, что на клиенте?

emissar

И да, кстати, файлзилла сообщила мне о своей невозможности работы с запароленными ключами

ну это её проблемы. я с таким г-ном не работаю. Если уж нужна „папка“ по ssh, то можно её смонтировать как sshfs по fuse. А далее юзать из любимого файлового менеджера. Ну например из Dolphin'а.

iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount
3 --name DEFAULT --rsource -j DROP
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name DEFAULT --rsource -j
ACCEPT

замечательно справляеться с этой задачей
ограничивает число коннектов с одного ip неболее 3 за минуту

Подскажите пож-ста, а сколько всего портов ?