[docs] просмотрите пож. про ssh
Maxim Tyurin
mrkooll на bungarus.info
Чт Май 3 15:27:08 MSD 2007
Artem Zolochevskiy writes:
>> > Наконец, можно осложнить жизнь потенциальному злоумышленнику отключив
>> > возможность удалённой регистрации в системе для root.
>> > * PermitRootLogin no
>> > в /etc/openssh/sshd_config
>>
>> Если необходима авторизация по паролю - лучше защитить sshd с помощью
>> knockd.
>
> Никогда не сталкивался. Максим сможете в 1-2 абзаца описать его?
> Тогдп можно, думаю, будет включить в описание.
Knockd (http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki)
простой демон который реагирует на "стук по портам" (port knocking).
Прослушивает весь трафик по интерфейсу и ищет в нем специальные
последовательности обращения к портам. Если находит такую
последовательность - выполняет команду указанную в его
конфигурационном файле.
Например у нас есть sshd который мы хотим защитить с помощью knockd.
Для этого используем примерно такой конфигурационный файл:
[options]
logfile = /var/log/knockd.log
[SSH]
sequence = 7000:tcp,8000:tcp,9000:tcp
seq_timeout = 7
start_command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
cmd_timeout = 15
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
Тогда если в течении 7 секунд будут обращения последовательно по
портам 7000, 8000, 9000 с одного адреса для этого адреса будет открыт
22 порт. Через 15 секунд он будет закрыт.
Такая конфигурация подходит если в iptables есть правило пропускающее
уже установленные соединения.
Если нет тогда лучше разбить правило knock на два:
[OpenSSH]
sequence = 7000:tcp,8000:tcp,9000:tcp
seq_timeout = 7
command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
[CloseSSH]
sequence = 9000:tcp,8000:tcp,7000:tcp
seq_timeout = 7
command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
В таком случае сначала мы открываем порт обращением по портам 7000,
8000, 9000, работаем по ssh и после окончания работы закрываем порт
обращением по портам 9000, 8000, 7000.
Вот в принципе и все. Что еще писать не знаю, сервис простой как
молоток :)
Клиент есть под win32.
> Максим, спасибо за замечания!
Пожалуйста.
--
With Best Regards, Maxim Tyurin
JID: MrKooll на jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
Подробная информация о списке рассылки docs