The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"грамотная настройка sshd"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"грамотная настройка sshd"  
Сообщение от Orlic email(??) on 13-Дек-06, 19:39 
Доброго времени суток.

На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):

PermitRootLogin no
StrictModes yes

RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile      /etc/ssh/authorized_keys

RhostsRSAAuthentication no
HostbasedAuthentication no

IgnoreUserKnownHosts yes
IgnoreRhosts yes

PasswordAuthentication no
PermitEmptyPasswords no

ChallengeResponseAuthentication no
UsePAM no


Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с другого компа, выкидывает сразу после ввода логина. Все верно.

Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса фильтровать, но при соединении с DIAL-UP он может быть любым (из диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, а потом проходила аутентификация уже пользователя.

Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "грамотная настройка sshd"  
Сообщение от Idontknow on 14-Дек-06, 03:01 
>Доброго времени суток.
>
>На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):
>
>PermitRootLogin no
>StrictModes yes
>
>RSAAuthentication no
>PubkeyAuthentication yes
>AuthorizedKeysFile      /etc/ssh/authorized_keys
>
>RhostsRSAAuthentication no
>HostbasedAuthentication no
>
>IgnoreUserKnownHosts yes
>IgnoreRhosts yes
>
>PasswordAuthentication no
>PermitEmptyPasswords no
>
>ChallengeResponseAuthentication no
>UsePAM no
>
>
>Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с
>другого компа, выкидывает сразу после ввода логина. Все верно.
>
>Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса
>фильтровать, но при соединении с DIAL-UP он может быть любым (из
>диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно
>с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста,
>а потом проходила аутентификация уже пользователя.
>
>Спасибо.

Еще можно все пакеты перед передачей к sshd передавать админу на мыло, чтобы тот их проверял на легитимность :)
А вообще, если авторизация только по Pubkey да еще и длинна ключа >=4096, то можно смело
PermitRootLogin yes
Ну и доступ по маске сетки на файрволе никто не отменял, хотя кто знает с какого места еще зайти придется :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "грамотная настройка sshd"  
Сообщение от lavr email on 14-Дек-06, 13:36 
>Доброго времени суток.
>
>На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):
>
>PermitRootLogin no
>StrictModes yes
>
>RSAAuthentication no
>PubkeyAuthentication yes
>AuthorizedKeysFile      /etc/ssh/authorized_keys

бр-р-ррр ----------------^^^^^^^^^^^^^^^^^^^^^^^^- это зачем это для всех публичных
ключей один СИСТЕМНЫЙ файл? Хотя лично я могу понять смысл

>RhostsRSAAuthentication no
>HostbasedAuthentication no
>
>IgnoreUserKnownHosts yes
>IgnoreRhosts yes
>
>PasswordAuthentication no
>PermitEmptyPasswords no
>
>ChallengeResponseAuthentication no
>UsePAM no
>
>
>Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с
>другого компа, выкидывает сразу после ввода логина. Все верно.
>
>Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса
>фильтровать, но при соединении с DIAL-UP он может быть любым (из
>диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно
>с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста,
>а потом проходила аутентификация уже пользователя.
>
>Спасибо.

собственно ответ - почитайте факи и руководства, плюс документацию - многое проясняет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру