sshd и FreeBSD 7.0

Dominator

Guest

Это нравится:0 Да/0 Нет

02.01.2009 14:28:04

Всем доброго времени суток! Поднял на FreeBSD sshd. Все, кроме root, могут зайти на удаленный компьютер. На тему root ssh пишет

Код
ssh root@192.168.0.1 Password: Password: Password: Permission denied (publickey,keyboard-interactive).

Как это исправить? В Linux я такого не встречал!

Andrey Y. Ostanovsky

Guest

Это нравится:0 Да/0 Нет

02.01.2009 14:38:15

А что смущает? Во FreeBSD принято, что рутом нельзя ходить по сети - и это правильно. В линуксе возможность логина рутом тоже можно отломать. В остальном:
man sshd_config
man su
portinstall sudo...

Изменено: Andrey Y. Ostanovsky - 02.01.2009 14:53:19

Dominator

Guest

Это нравится:0 Да/0 Нет

02.01.2009 14:55:32

Цитата
Andrey Y. Ostanovsky пишет: man su

этого во FreeBSD я не встречал

errmaker

Guest

Это нравится:0 Да/0 Нет

02.01.2009 14:55:43

Цитата
Andrey Y. Ostanovsky пишет: Во FreeBSD принято, что рутом нельзя ходить по сети - и это правильно

почему правильно ? типа сложнее будет запомнить два пароля чем один если кто-то подглядывает сзади ? мой пароль и без того хрен запомнишь. выбор в любом случае за конечным юзером.

Цитата

Dominator пишет:

Всем доброго времени суток! Поднял на FreeBSD sshd. Все, кроме root, могут зайти на удаленный компьютер. На тему root ssh пишетКодssh root@192.168.0.1

Password:

Password:

Password:

Permission denied (publickey,keyboard-interactive).

Как это исправить? В Linux я такого не встречал!

/etc/ssh/sshd_config что-то вроде PermitRootLogin насолько я помню нужно исправить и перезапустить sshd .

Andrey Y. Ostanovsky

Guest

Это нравится:0 Да/0 Нет

02.01.2009 14:59:18

Цитата

Dominator пишет:

Цитата
Andrey Y. Ostanovsky пишет: man su

этого во FreeBSD я не встречал

Сожалею.

Код
HISTORY A su command appeared in Version 1 AT&T UNIX. FreeBSD 6.2 September 13, 2006 FreeBSD 6.2

Изменено: Andrey Y. Ostanovsky - 02.01.2009 15:00:39

Dominator

Guest

Это нравится:0 Да/0 Нет

02.01.2009 15:05:08

Цитата
errmaker пишет: /etc/ssh/sshd_config что-то вроде PermitRootLogin насолько я помню нужно исправить и перезапустить sshd .

Спасибо! Прокатило! +указал конкретный порт для sshd и снаружи(интернет) его закрыл!

Andrey Y. Ostanovsky

Guest

Это нравится:0 Да/0 Нет

02.01.2009 15:40:00

Цитата
почему правильно ?

Уставы и правила безопасности, в большинстве своем, пишутся кровью. А так - можно и на красный свет дорогу переходить.

Цитата
типа сложнее будет запомнить два пароля чем один если кто-то подглядывает сзади ? мой пароль и без того хрен запомнишь.

У нас, по требованиям безопасности, вход на сервера только по ключу - так что пароли запоминать не нужно.

Цитата
выбор в любом случае за конечным юзером.

Несомненно! И, как показывает опыт, если юзер - идиот, то он напишет PermitRootLogin вместо использования su. Задача системы, установленной по-умолчанию, иметь минимальное количество потенциальных брешей.

errmaker

Guest

Это нравится:0 Да/0 Нет

02.01.2009 15:51:21

ключи и дефолтные настройки понятно... у меня 5 лет стоит фря с разрешенным рутовым логином и все нормально. смысла особого не вижу логинится под юзером а потом делать su. ибо изначально захожу для администрирования. главное всегда осознавать что делаешь. а так насколько я понимаю открытый рут логин прямой угрозы не несет

Andrey Y. Ostanovsky

Guest

Это нравится:0 Да/0 Нет

02.01.2009 16:06:10

Цитата
errmaker пишет: а так насколько я понимаю открытый рут логин прямой угрозы не несет

Так же, как и пустой пароль рута при этом.

Но до такой комбинации еще надо додуматься!

Кстати, сейчас посмотрел по логам авторизации на паре серверов, действительно, боты давно уже не подставляют "root" в качестве имени пользователя. Правда, у меня на всех серверах после 10 неудачных попыток IP блокируется, так что, полной картины по подбору логинов/паролей - не имею.

Dominator

Guest

#10

Это нравится:0 Да/0 Нет

02.01.2009 16:29:04

Цитата

Andrey Y. Ostanovsky пишет:
Кстати, сейчас посмотрел по логам авторизации на паре серверов, действительно, боты давно уже не подставляют "root" в качестве имени пользователя. Правда, у меня на всех серверах после 10 неудачных попыток IP блокируется, так что, полной картины по подбору логинов/паролей - не имею.

Как это можно сделать? Меня это заинтересовало!

Andrey Y. Ostanovsky

Guest

#11

Это нравится:0 Да/0 Нет

02.01.2009 18:52:29

Цитата
Dominator пишет: Как это можно сделать? Меня это заинтересовало!

Алгоритм определения IP "нарушителя", надеюсь, понятен?
Дальше perl + syslog + ipfw/pf

°°°Trojan°°°™

Guest

#12

Это нравится:0 Да/0 Нет

03.01.2009 00:52:14

у меня например так блокируется через pf ...

Код
block quick from <ssh_brute> pass in quick log on $net_if proto tcp from any to $net_if port ssh \ flags S/SA keep state (max-src-conn-rate 3/30, overload <ssh_brute> flush global)

Изменено: °°°Trojan°°°™ - 03.01.2009 01:05:03

Andrey Y. Ostanovsky Guest	#13 Это нравится:0 Да/0 Нет 03.01.2009 15:49:50 Это простейший вариант, не учитывающий "медленных" роботов и несколько одновременных логинов из одной сети.

RU_LIDS

Guest

#14

Это нравится:0 Да/0 Нет

03.01.2009 21:45:04

Цитата
Andrey Y. Ostanovsky пишет: У нас, по требованиям безопасности, вход на сервера только по ключу - так что пароли запоминать не нужно.

А в ключике случайно не сертификат с MD5 хешем? В свете новогоднего поздравления ;)

Andrey Y. Ostanovsky

Guest

#15

Это нравится:0 Да/0 Нет

03.01.2009 22:01:00

Цитата
RU_LIDS пишет: А в ключике случайно не сертификат с MD5 хешем? В свете новогоднего поздравления

Нет, там (в ~/.ssh/authorized_keys) паблик-кей от rsa или dsa ключа, с соответствующими ограничениями:
man sshd
/AUTHORIZED_KEYS FILE FORMAT

SOLDIER Guest	#16 Это нравится:0 Да/0 Нет 03.01.2009 22:10:15 Чёрт тебя побери, Доминатор!!! Ну достал ведь. Когда ж ты уже читать мануалы и доки начнёшь,а????

SOLDIER

Guest

#17

Это нравится:0 Да/0 Нет

03.01.2009 22:40:37

Я бы это охарактеризовал так. Существуют 2 пути:
1. Путь нормальных админов (которые таки читают мануалы и хэндбуки).
2. Путь Доминатора (который бьётся, аки Балтийская волна в берег набережной Невы, набивает шишки, ломает колёса на той тропе, где до него целая куча "одминов" сломало не одно копьё).
2-й путь - это путь нечитания документации и набивания собственных шишек. Путь гениев.

Ты уникальный человек, парень!

Изменено: SOLDIER - 03.01.2009 22:42:46

Dominator

Guest

#18

Это нравится:0 Да/0 Нет

04.01.2009 19:49:07

Цитата
SOLDIER пишет: 2-й путь - это путь нечитания документации и набивания собственных шишек. Путь гениев.

Старый анекдот:
Когда программист/админ читает инструкцию?
Когда ему нечего почитать в туалете!

Изменено: Dominator - 04.01.2009 19:51:37

°°°Trojan°°°™

Guest

#19

Это нравится:0 Да/0 Нет

04.01.2009 20:19:11

Цитата
Dominator

будь осторожен, у СекЛаба есть злобные Модеры, и вооше у всех нервы стоят на кокой то степене, потом буум ...

Guest

#20

Это нравится:0 Да/0 Нет

06.01.2009 17:09:19

Цитата
errmaker пишет: почему правильно ? типа сложнее будет запомнить два пароля чем один если кто-то подглядывает сзади ?

Подобрать неизвестные логин и пароль на многие порядки сложнее, чем подбирать пароль к известной учётной записи root.

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?