LINUX.ORG.RU
ФорумTalks

Почему openssh не использует стандартную структуру URL?

 ,


0

3

Как известно, стандартная структура URL такая:

<схема>://<логин>:<пароль>@<хост>:<порт>/<URL‐путь>?<параметры>#<якорь>

Однако в openssh (ssh, sftp) и sshfs такая схема не используется. Там структура параметров примерно такая:

sftp <логин>@<хост>:<URL-путь> -P <порт>

Почему бы не вместо

sftp root@example.com:/mnt -P 666
использовать
sftp root@example.com:666//mnt
?

Ещё в ssh и sftp параметры отличаются, в ssh порт обозначается маленькой буквой p.

Правда путь придётся не по стандарту кодировать, но не думаю, что это помешает.

☆☆☆☆☆

Последнее исправление: Ttt (всего исправлений: 1)
Ответ на: комментарий от Ttt

Первый rfc на uri 1994-1995г. В то же время и openssh релизнулся. Но он служил свободной заменой проприетарному ПО (соответственно более древнему). Скорее всего оставили совместимость по ключам.

ziemin ★★
()
Ответ на: комментарий от ziemin

строго говоря никто не мешал дописать парсер, тотже smbclinet поддерживает разные варианты ибо мужики постарались и сделали, а тут только закладки от анб

Deleted
()
Ответ на: комментарий от Deleted

Кстати я ошибся. Получается openssh релизнулся в 1999-2000. А вот сам протокол с 95. Причём ещё в 2006 обе реализации вроде как использовались. Получается сохраняли совместимость друг с другом.

ziemin ★★
()
Ответ на: комментарий от Ttt

правильно, единообразие, т.е. так как в telnet, nfs и аfs, к которым ssh ближе чем к браузеркам.

val-amart ★★★★★
()
Ответ на: комментарий от Ttt

Это ты ещё не видел цисковского рудиментарного клиента в их железках.
Кстати, перевешивание порта со стандартного ничего в плане безопасности не даёт. Вообще. Так что проблема высосана из пальца верой в городские легенды.

imul ★★★★★
()

Это ж какой такой ССЗБ в командной строке пароль параметром команды набирает? Народ изучает возможности перехвата пароля по временному появлению его в памяти программы, а тут вообще в ~/.bash_history оно торчать будет!

Eddy_Em ☆☆☆☆☆
()

Весь софт это набор костылей и подпорок :(

true_admin ★★★★★
()

Ещё в ssh и sftp параметры отличаются, в ssh порт обозначается маленькой буквой p.

Больше всего это бесит.

Suigintou ★★★★★
()

кстати говоря, в git over ssh делается именно так

git clone ssh://user@host:port/myrepo

WRG ★★★★
()
Ответ на: комментарий от imul

Кстати, перевешивание порта со стандартного ничего в плане безопасности не даёт. Вообще.

Перевешивание порта позволяет отфильтровать основную массу ботов. Если тебе пароль к ssh брутят когда он висит на 10501 порту то это почти наверняка происходит целенаправленно.

qiomi
()
Ответ на: комментарий от Eddy_Em

Ну так можно исключить пароль из схемы.

Ttt ☆☆☆☆☆
() автор топика

Так исторически сложилось. И вообще, почти в любом мане встречаются устаревшие ключи, которые в свое время были добавлены для совместимости.

Igron ★★★★★
()
Ответ на: комментарий от qiomi

И какие это даёт улучшения в безопасности?
Или у тебя сильные проблемы с пониманием русского текста?

imul ★★★★★
()
Ответ на: комментарий от Eddy_Em

Почему нет? HISTCONTROL=ignoredups:ignorespace и начинать команду с пробела. Или вообще ведение истории выключить, больше чем рамках одной сессии она редко нужна

selivan ★★★
()
Ответ на: комментарий от imul

перевешивание порта со стандартного ничего в плане безопасности не даёт

перевешивают не только из-за этого, например у меня SSH на 443м порту висит не из соображений безопасности, а для возможности ходить туда через прокси.

Opxocc
()
Ответ на: комментарий от imul

И какие это даёт улучшения в безопасности?

Выделение из кучи ботов целенаправленной атаки разве не привлечет внимание админа? И кто мешает использовать этот метод совместно с fail2ban, например?

Turbid ★★★★★
()

а в sshfs порт с большой P. И чо?

n_play
()
Ответ на: комментарий от imul

когда-нибудь потребуется пробросить тунели, чтоб добраться до хитрого оборудования. Вот тогда и пригодятся другие незанятые порты.

n_play
()
Ответ на: комментарий от qiomi

Если тебе пароль к ssh брутят

...то пусть брутят хоть до 2го пришествия, ибо ключи

Sectoid ★★★★★
()

Два пункта: пароли в cmd-line — большое зло, альтернативные порты — большая глупость. Вот их и нет, что бы и не пытались.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от Opxocc

Я знаю для чего стоит перевешивать, а для чего не стоит перевешивать. Кстати, для твоей задачи перевешивание тоже не обязательно.

imul ★★★★★
()
Ответ на: комментарий от beastie

пароли в cmd-line — большое зло,

Можно секцию «пароль» не использовать.

альтернативные порты — большая глупость

И как текущая схема мешает их использовать?

Кстати, иногда это вынужденная необходимость, если ssh-сервер за NAT.

А для http и https альтернативные порты, несмотря на стандартную схему, не используются, за исключением случаев, когда пользователь сам не набирает этот адрес.

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от Turbid

И что, будет админ слазить со своей бабы посередине ночи, чтобы посмотреть кто там его ломает на нестандартном порту?
Как привлечение внимания админа повышает безопасность?
Как fail2ban повышает безопасность в условиях перевешивания порта?
Ответы-то на все три вопроса однозначны: нет, никак, никак.

imul ★★★★★
()
Ответ на: комментарий от n_play

И какое опять же это имеет отношение к безопасности?

imul ★★★★★
()
Ответ на: комментарий от Ttt

Кстати, иногда это вынужденная необходимость, если ssh-сервер за NAT.

Если у тебя за натом только один сервер, то это не необходимость.
Если их за натом много, то что мешает поднять впн?
Опять необходимость высосана из двадцать первого пальца.

imul ★★★★★
()
Ответ на: комментарий от beastie

IPv6

У вас там наверное с эти попроще.

imul ★★★★★
()
Ответ на: комментарий от beastie

Не везде он есть. И не всегда он вообще существовал.

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от imul

Допустим, есть домашний роутер. Он не умеет быть vpn-сервером. За ним находятся компы, которыми нужно управлять по ssh. Что делать?

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от imul

Это подразумевает наличие постоянно работающего сервера для vpn. А если его нет? Допустим, может быть включен либо один, либо другой компьютер, а гарантированно один из них не включен.

Да много ситуаций бывает. Иногда просто нецелесообразно ставить vpn-клиент только ради того, чтобы приконнектиться по ssh. Например, фрилансера попросили что-то настроить, у него ssh-клиент по определению есть, а vpn бывают разные.

Вот если ты мне объяснишь минус проброса ssh-порта через NAT, то будет другое дело.

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от Ttt

Вот если ты мне объяснишь минус проброса ssh-порта через NAT, то будет другое дело.

Опять какие-то фантазии начались. Пробрасывай 22 порт на здоровье, никаких минусов нет.

Допустим, может быть включен либо один, либо другой компьютер, а гарантированно один из них не включен.

Ну настрой пробуждение по сети.

Да много ситуаций бывает...

Фрилансер и через два хопа посидит.

Но, опять же, какое это имеет отношение к безопасности?

imul ★★★★★
()
Ответ на: комментарий от imul

И что, будет админ слазить со своей бабы посередине ночи, чтобы посмотреть кто там его ломает на нестандартном порту?

Разве что он готов к тому, чтобы поутру начальник не слезал с него.

Как привлечение внимания админа повышает безопасность?

Если тебя начинают иметь на нестандартном порту - явно нештатная ситуация, повод начать расследование, не?

Что лучше - засранный лог от ботов на 22-ом порту или единичные целенаправленные атаки на нестандартном?

Как fail2ban повышает безопасность в условиях перевешивания порта?

А как уменьшает?

Ответы-то на все три вопроса однозначны: нет, никак, никак.

Только для тебя.

Сравни время, которое тратит сканер на стандартные порты и поиск нужного сервиса на нестандартном.

Turbid ★★★★★
()
Ответ на: комментарий от imul

Я про безопасность ничего не говорил. Просто говорю, что может использоваться. Но не отрицаю, что можно обойтись и без этого. Но не считаю, что есть основания полагать, что это не нужно.

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от Ttt

А я ничего не говорил про костыли и удобства. Но, неудобную для вас тему вы сводите к удобной для вас. Потом на два компьютера у тебя денег хватило, на оплату фрилансеру денег хватило, а пару дней не попить пива и купить модем куда можно поставить опенврт ничего уже не осталось. Молодец. :D

imul ★★★★★
()
Ответ на: комментарий от Turbid

Включи белые списки, авторизацию по ключу и банн на сутки всей /16 при двух фейлах. Дальше мне обсуждать твои высосаные из двадцать первого пальца проблемы не интересно. Оставь их для первокурсниц.

imul ★★★★★
()
Ответ на: комментарий от qiomi

Перевешивание порта позволяет отфильтровать основную массу ботов. Если тебе пароль к ssh брутят когда он висит на 10501 порту то это почти наверняка происходит целенаправленно.

Нормальные боты уже давным давно научились сначала проводить полное сканирование на предмет баннера SSH, а уже потом собственно брутфорсить. По сравнению с самми брутфорсом эта операция занимает не так уж и много времени, а профит очевиден: хосты, которые ранее считались без SSH демона теперь попадают на стол атакующему.

Проблему логов нужно решать какими-то другими способами, хоть тем же fail2ban. А перевешивание порта это просто переезд в другую квартиру в многоквартирном подъезде. Если вам нужно именно скрыть наличие двери в вашем подъезде, используйте port knocking.

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

Нормальные боты уже давным давно научились сначала проводить полное сканирование на предмет баннера SSH

Давай-ка пруфлинк. А то мне кажется, что ты переоцениваешь индустрию ssh-брута.

xtraeft ★★☆☆
()
Ответ на: комментарий от ubuntuawp

Обоснуй. Здаётся мне, что кто-то пытается использовать ssh не по назначению.

В любом случае паролю в **argv и в .bash_history делать нечего. А порт настраивается элементарно через конфиг для тех ССЗБ (и тем, кому приходиться не по своей воле), которые используют нестандатный порт.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.