forum.opennet.ru

Составление сообщения

Исходное сообщение

"грамотная настройка sshd"
Отправлено Idontknow, 14-Дек-06 03:01

>Доброго времени суток.
>
>На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):
>
>PermitRootLogin no
>StrictModes yes
>
>RSAAuthentication no
>PubkeyAuthentication yes
>AuthorizedKeysFile /etc/ssh/authorized_keys
>
>RhostsRSAAuthentication no
>HostbasedAuthentication no
>
>IgnoreUserKnownHosts yes
>IgnoreRhosts yes
>
>PasswordAuthentication no
>PermitEmptyPasswords no
>
>ChallengeResponseAuthentication no
>UsePAM no
>
>
>Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с
>другого компа, выкидывает сразу после ввода логина. Все верно.
>
>Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса
>фильтровать, но при соединении с DIAL-UP он может быть любым (из
>диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно
>с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста,
>а потом проходила аутентификация уже пользователя.
>
>Спасибо.
Еще можно все пакеты перед передачей к sshd передавать админу на мыло, чтобы тот их проверял на легитимность :)
А вообще, если авторизация только по Pubkey да еще и длинна ключа >=4096, то можно смело
PermitRootLogin yes
Ну и доступ по маске сетки на файрволе никто не отменял, хотя кто знает с какого места еще зайти придется :)

Исходное сообщение
"грамотная настройка sshd" Отправлено Idontknow, 14-Дек-06 03:01
>Доброго времени суток. > >На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config): > >PermitRootLogin no >StrictModes yes > >RSAAuthentication no >PubkeyAuthentication yes >AuthorizedKeysFile /etc/ssh/authorized_keys > >RhostsRSAAuthentication no >HostbasedAuthentication no > >IgnoreUserKnownHosts yes >IgnoreRhosts yes > >PasswordAuthentication no >PermitEmptyPasswords no > >ChallengeResponseAuthentication no >UsePAM no > > >Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с >другого компа, выкидывает сразу после ввода логина. Все верно. > >Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса >фильтровать, но при соединении с DIAL-UP он может быть любым (из >диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно >с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, >а потом проходила аутентификация уже пользователя. > >Спасибо. Еще можно все пакеты перед передачей к sshd передавать админу на мыло, чтобы тот их проверял на легитимность :) А вообще, если авторизация только по Pubkey да еще и длинна ключа >=4096, то можно смело PermitRootLogin yes Ну и доступ по маске сетки на файрволе никто не отменял, хотя кто знает с какого места еще зайти придется :)

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>Доброго времени суток.
>> 
>>На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config): 
>> 
>>PermitRootLogin no 
>>StrictModes yes 
>> 
>>RSAAuthentication no 
>>PubkeyAuthentication yes 
>>AuthorizedKeysFile      /etc/ssh/authorized_keys 
>> 
>>RhostsRSAAuthentication no 
>>HostbasedAuthentication no 
>> 
>>IgnoreUserKnownHosts yes 
>>IgnoreRhosts yes 
>> 
>>PasswordAuthentication no 
>>PermitEmptyPasswords no 
>> 
>>ChallengeResponseAuthentication no 
>>UsePAM no 
>> 
>> 
>>Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с 
>>другого компа, выкидывает сразу после ввода логина. Все верно.
>> 
>>Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса 
>>фильтровать, но при соединении с DIAL-UP он может быть любым (из 
>>диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно 
>>с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, 
>>а потом проходила аутентификация уже пользователя.
>> 
>>Спасибо.

> Еще можно все пакеты перед передачей к sshd передавать админу на мыло, 
> чтобы тот их проверял на легитимность :) 
> А вообще, если авторизация только по Pubkey да еще и длинна ключа 
> >=4096, то можно смело 
> PermitRootLogin yes 
> Ну и доступ по маске сетки на файрволе никто не отменял, хотя 
> кто знает с какого места еще зайти придется :)

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру