LINUX.ORG.RU
ФорумAdmin

вход через sshd

 


0

1

Такой вопрос, сервер sshd позволяет залогиниться только как пользователь прописаный в /etc/passwd или у него могут быть свои логины со списком сопоставления? Где в /etc/ssh/sshd_config запреты прописываются, например запретить входить как root?

★★★★★

Где в /etc/ssh/sshd_config запреты прописываются, например запретить входить как root?

man sshd_config

Искать AllowGroups, AllowUsers, DenyGroups, DenyUsers, PermitRootLogin.

sergv
()
Ответ на: комментарий от zolden

наслушался городских легенд про то, что под рутом ходить нельзя?

А может насмотрелся журналов с перебором пароля именно для рута? Скрипткиддис - они такие.

sergv
()

Такой вопрос, сервер sshd позволяет залогиниться только как пользователь прописаный в /etc/passwd или у него могут быть свои логины со списком сопоставления?

расскажи - зачем?

Где в /etc/ssh/sshd_config запреты прописываются, например запретить входить как root?

man 5 ssh_config религия не позволила прочитать? Ну хорошо:

PermitRootLogin

Specifies whether root can log in using ssh(1). The argument must be ``yes", ``without-password", ``forced-commands-only", or ``no". The default is ``yes".

If this option is set to ``without-password", password authentication is disabled for root.

If this option is set to ``forced-commands-only", root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication methods are disabled for root.

If this option is set to ``no", root is not allowed to log in.

drBatty ★★
()
Ответ на: комментарий от drBatty

что смеёшься? для КОГО ещё?

Что спросить-то хотел? Что скриптами пытаются в первую очередь зайти по ssh с пользователями root и mysql - это что, новость?

sergv
()
Ответ на: комментарий от sergv

Что спросить-то хотел? Что скриптами пытаются в первую очередь зайти по ssh с пользователями root и mysql - это что, новость?

что сказать-то хотел? как закрыть rootовый логин? Дык я уже сказал выше...

Кстати, про mysql это для меня новость - неужто ещё есть серверы, на которые можно зайти в shell юзером mysql??? А на кой хрен админ этого сервера такое сотворил?

drBatty ★★
()
Ответ на: комментарий от drBatty

что сказать-то хотел? как закрыть rootовый логин? Дык я уже сказал выше...

Тред не читал, но напишу? ;-)

Кстати, про mysql это для меня новость - неужто ещё есть серверы, на которые можно зайти в shell юзером mysql??? А на кой хрен админ этого сервера такое сотворил?

Видимо, есть. Просто один раз фильтр на tcp/22 забыл прописать - к утру имел статистику переборов. И с некоторых шелезяк тоже собирается (там фильтров по IP вообще нет).

sergv
()
Ответ на: комментарий от sergv

Видимо, есть. Просто один раз фильтр на tcp/22 забыл прописать - к утру имел статистику переборов. И с некоторых шелезяк тоже собирается (там фильтров по IP вообще нет).

статистика у меня у самого есть. Вот только похоже ты спутал юзера mysql, с портом mysql(3306).

drBatty ★★
()

позволяет залогиниться только как пользователь прописаный в /etc/passwd

Нет. Позволяет залогинится так, как прописано в /etc/pam.d/sshd

sergej ★★★★★
()
Ответ на: комментарий от drBatty

Вот только похоже ты спутал юзера mysql, с портом mysql(3306).

Не спутал. У этого юзера еще почту по pop3 «читают» регулярно :-).

sergv
()
Ответ на: комментарий от dada

Если проблему ещё не решил, то советую fail2ban.

Проблему с забывчивостью? ;-) Де нет, решил тем-же утром, что отчет по безопастности получил. :-)))

На «шелезяках без фильтров» ничего поставить нельзя просто - коммутаторы это.

P.S.: А по журналу читающих почту root и mysql я баню. Очень удобно.

sergv
()
Ответ на: комментарий от dada

Для root есть PermitRootLogin.
И ещё как тебе сказали AllowUsers.


Понятно.

расскажи - зачем?


Ну вот допустим есть у меня пользователь gateadmin, я удалил его пароль через «passwd -d gateadmin» и, когда локально вхожу через login, просто набираю gateadmin, пароль не запрашивается, серверная всё равно заперта на ключ.
Удалённо через ssh таким образом входить нельзя, поэтому я естественно через DenyUsers запрещу. Но можно ли сделать логин sshadmin с неким паролем, введя который я заходил бы как пользователь gateadmin?

sunny1983 ★★★★★
() автор топика
Ответ на: комментарий от sunny1983

Но можно ли сделать логин sshadmin с неким паролем, введя который я заходил бы как пользователь gateadmin?

UID и GID им один поставь. Очевидно-же.

sergv
()
Ответ на: комментарий от sunny1983

Еще вариант - «sudo -u gateadmin» в профайл. (Права только дать надо в sudoers).

sergv
()
Ответ на: комментарий от sunny1983

К чему такие извращения? Просто настрой в ssh запрет на авторизацию по паролю и настрой авторизацию по ключу.

funky
()
Ответ на: комментарий от drBatty

заняться нечем? Этих ботов в сети Over9000M

Процессору на сервере раз в пять минут? Он что, полсекунды уделить не может? ;-)

(Не я в прямом смысле - скрипт из крона)

sergv
()
Ответ на: комментарий от sunny1983

Но можно ли сделать логин sshadmin с неким паролем, введя который я заходил бы как пользователь gateadmin?

можно. Сделать юзера sshadmin, у которого UID равен UID gateadmin.

drBatty ★★
()
Ответ на: комментарий от sergv

Процессору на сервере раз в пять минут? Он что, полсекунды уделить не может? ;-)

ну _добавить_ не долго, но проверять КАЖДЫЙ пакет на source IP == список из 100500 ботов - это fail.

drBatty ★★
()
Ответ на: комментарий от drBatty

ну _добавить_ не долго, но проверять КАЖДЫЙ пакет на source IP == список из 100500 ботов - это fail.

Зачем КАЖДЫЙ. Только TCP/SYN и по таблице. Там по по хэшу. Накладных - минимум.

sergv
()
Ответ на: комментарий от sergv

...а учитывая, что большинство ботов - суть завирусованные домашние компы на динамическом IP, то банить ты их будешь дооолго, и список будет ДЛИННЫЙ. Проверять конечно тоже будет не быстро. Впрочем - ССЗБ.

drBatty ★★
()
Ответ на: комментарий от sergv

Зачем КАЖДЫЙ. Только TCP/SYN и по таблице. Там по по хэшу. Накладных - минимум.

ну каждое соединение. Тоже не мало. И зачем там какой-то хеш, если IP это 32х битовое число?

drBatty ★★
()
Ответ на: комментарий от drBatty

...а учитывая, что большинство ботов - суть завирусованные домашние компы на динамическом IP, то банить ты их будешь дооолго, и список будет ДЛИННЫЙ. Проверять конечно тоже будет не быстро. Впрочем - ССЗБ.

А я, типа, первый день этим занимаюсь и агрегировать сети не умею (в том числе и в скрипте). И выносить их через N дней тоже забываю...

И к сведению - сейчас чаще не компы завирусенные ломятся, а серваки у хакнутого хостера. Просто к слову. Не веришь - проверь по своей статистике.

sergv
()
Ответ на: комментарий от sergv

А я, типа, первый день этим занимаюсь и агрегировать сети не умею (в том числе и в скрипте). И выносить их через N дней тоже забываю...

ага... Ну и на кой этот бардак вообще нужен? Не проще-ли просто сменить порт sshd и забить болт? и/или убрать вообще нафиг авторизацию по паролю, оставить по ключу.

И к сведению - сейчас чаще не компы завирусенные ломятся, а серваки у хакнутого хостера. Просто к слову. Не веришь - проверь по своей статистике.

будет время - проверю. Ко мне никто не ломится, нет у меня ничего на 22ом порте. А вешать туда что-то для статистики дебилов мне лень...

drBatty ★★
()
Ответ на: комментарий от sergv

Чтоб таблица 2^32 бит памяти ЯДРА не занимала.

и что, там какой-нить восьмибитный хеш замутили? или 10и битный? И с чего ты взял, что там была-бы простая битовая карта на 2^32 бита? Других структур данных нет что-ли? К примеру дерево какое-нить?

drBatty ★★
()
Ответ на: комментарий от drBatty

ага... Ну и на кой этот бардак вообще нужен? Не проще-ли просто сменить порт sshd и забить болт? и/или убрать вообще нафиг авторизацию по паролю, оставить по ключу.

Блин, дык вот ты о чем! ;-))))

SSH давно закрыт, кроме определенных адресов. И авторизация только на ключе.

Я про «удобно банить» для (POP3|FTP) писал!

А вешать туда что-то для статистики дебилов мне лень...

Ну и не весь. Я ботов-сканеров из POP3/FTP собираю. И из журналов нескольких «особо мудро» (не мной!) настроенных коммутаторов.

sergv
()
Ответ на: комментарий от drBatty

и что, там какой-нить восьмибитный хеш замутили? или 10и битный? И с чего ты взял, что там была-бы простая битовая карта на 2^32 бита? Других структур данных нет что-ли? К примеру дерево какое-нить?

Если не лень - посмотри реализацию поиска по хэшам из таблиц в ipfilter и pf (я их использую). Мне - лень.

Ну, затраты на реализацию поиска hash vs. b-tree мы ведь тут обсуждать не будем?

sergv
()
Ответ на: комментарий от sergv

Зачем КАЖДЫЙ. Только TCP/SYN и по таблице. Там по по хэшу. Накладных - минимум.
И выносить их через N дней тоже забываю...

К чему этот велосипед? Вы повторяете функционал модуля recent.

funky
()
Ответ на: комментарий от funky

К чему этот велосипед? Вы повторяете функционал модуля recent.

Ну да.

Только с той разницей, что критерии помещения в таблицу, извлечения оттуда, агрегации в сеть и т.д. я задаю САМ.

sergv
()
Ответ на: комментарий от sergv

В recent Вы также задаете критерии попадания и выбывания. По крайней мере, наиболее типично-разумным областям применения соответствует. Советую приглядеться повнимательнее, штука-то удобная.

funky
()
Ответ на: комментарий от sergv

Я про «удобно банить» для (POP3|FTP) писал!

а... ну POP3|FTP это совсем другая история... Я просто уже привык к тому, что все подряд советуют свой file2bun на любой вопрос по sshd.

drBatty ★★
()
Ответ на: комментарий от sergv

Если не лень - посмотри реализацию поиска по хэшам из таблиц в ipfilter и pf (я их использую). Мне - лень.

судя по твоему уверенному тону, ты уже посмотрел... А мне да, лень. Просто ИМХО мне сдаётся, что нет никакого смысла сворачивать 32х битное число в меньший хеш. В большинстве случаев, 32х битное целое и так самый быстрый тип данных.

Ну, затраты на реализацию поиска hash vs. b-tree мы ведь тут обсуждать не будем?

не. Однако замечу, что сворачивать строчку символов хрен знает какой длинны в 32х битный хеш имеет смысл, а вот сворачивать 32х битное число в какой-то хеш... Смысл этого мне не понятен. В отличие от какого-то дерева, которое будет быстро работать и для 10и правил, и для 10К правил.

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.