forum.opennet.ru

Составление сообщения

Исходное сообщение

"грамотная настройка sshd"
Отправлено Orlic, 13-Дек-06 19:39

Доброго времени суток.
На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):
PermitRootLogin no
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/authorized_keys
RhostsRSAAuthentication no
HostbasedAuthentication no
IgnoreUserKnownHosts yes
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM no

Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с другого компа, выкидывает сразу после ввода логина. Все верно.
Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса фильтровать, но при соединении с DIAL-UP он может быть любым (из диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, а потом проходила аутентификация уже пользователя.
Спасибо.

Исходное сообщение
"грамотная настройка sshd" Отправлено Orlic, 13-Дек-06 19:39
Доброго времени суток. На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config): PermitRootLogin no StrictModes yes RSAAuthentication no PubkeyAuthentication yes AuthorizedKeysFile /etc/ssh/authorized_keys RhostsRSAAuthentication no HostbasedAuthentication no IgnoreUserKnownHosts yes IgnoreRhosts yes PasswordAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no UsePAM no Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с другого компа, выкидывает сразу после ввода логина. Все верно. Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса фильтровать, но при соединении с DIAL-UP он может быть любым (из диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, а потом проходила аутентификация уже пользователя. Спасибо.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доброго времени суток.

> На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):

> PermitRootLogin no 
> StrictModes yes

> RSAAuthentication no 
> PubkeyAuthentication yes 
> AuthorizedKeysFile      /etc/ssh/authorized_keys

> RhostsRSAAuthentication no 
> HostbasedAuthentication no

> IgnoreUserKnownHosts yes 
> IgnoreRhosts yes

> PasswordAuthentication no 
> PermitEmptyPasswords no

> ChallengeResponseAuthentication no 
> UsePAM no

> Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал 
> с другого компа, выкидывает сразу после ввода логина. Все верно.

> Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса 
> фильтровать, но при соединении с DIAL-UP он может быть любым (из 
> диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts 
> использовать совместно с публичным ключом пользователя можно? чтобы сначала определялась 
> легитимность удаленного хоста, а потом проходила аутентификация уже пользователя.

> Спасибо.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру