[docs] просмотрите пож. про ssh

Maxim Tyurin mrkooll на bungarus.info
Чт Май 3 15:27:08 MSD 2007


Artem Zolochevskiy writes:

>> > Наконец, можно осложнить жизнь потенциальному злоумышленнику отключив
>> > возможность удалённой регистрации в системе для root.
>> > * PermitRootLogin no
>> > в /etc/openssh/sshd_config
>>
>> Если необходима авторизация по паролю - лучше защитить sshd с помощью
>> knockd.
>
> Никогда не сталкивался. Максим сможете в 1-2 абзаца описать его?
> Тогдп можно, думаю, будет включить в описание.

Knockd (http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki)
простой демон который реагирует на "стук по портам" (port knocking).
Прослушивает весь трафик по интерфейсу и ищет в нем специальные
последовательности обращения к портам. Если находит такую
последовательность - выполняет команду указанную в его
конфигурационном файле.

Например у нас есть sshd который мы хотим защитить с помощью knockd.
Для этого используем примерно такой конфигурационный файл:
[options]
        logfile = /var/log/knockd.log

[SSH]
       sequence    = 7000:tcp,8000:tcp,9000:tcp
       seq_timeout = 7
       start_command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
       cmd_timeout   = 15
       stop_command  = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
       tcpflags    = syn

Тогда если в течении 7 секунд будут обращения последовательно по
портам 7000, 8000, 9000 с одного адреса для этого адреса будет открыт
22 порт. Через 15 секунд он будет закрыт.
Такая конфигурация подходит если в iptables есть правило пропускающее
уже установленные соединения.
Если нет тогда лучше разбить правило knock на два:
[OpenSSH]
       sequence    = 7000:tcp,8000:tcp,9000:tcp
       seq_timeout = 7
       command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
       tcpflags    = syn

[CloseSSH]
       sequence    = 9000:tcp,8000:tcp,7000:tcp
       seq_timeout = 7
       command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
       tcpflags    = syn

В таком случае сначала мы открываем порт обращением по портам 7000,
8000, 9000, работаем по ssh и после окончания работы закрываем порт
обращением по портам 9000, 8000, 7000.

Вот в принципе и все. Что еще писать не знаю, сервис простой как
молоток :)

Клиент есть под win32.

> Максим, спасибо за замечания!

Пожалуйста.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll на jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  


Подробная информация о списке рассылки docs