Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » jak zablokować możliwość logowania z internetu
#1 2011-04-06 21:34:10
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
jak zablokować możliwość logowania z internetu
Chciałbym pozostawić TYLKO możliwość logowania się z LANu - da się tak zrobić??
Offline
#2 2011-04-06 21:47:54
torrentow - 
Członek Sejmowej Komisji Śledczej
- torrentow
- Członek Sejmowej Komisji Śledczej
- Skąd: z GNU
- Zarejestrowany: 2009-11-23
Re: jak zablokować możliwość logowania z internetu
Do czego?
Każdy sam sobie szkodzi :)
Offline
#3 2011-04-07 09:14:32
lis6502 - Łowca lamerów
- lis6502
- Łowca lamerów
- Skąd: Stalinogród
- Zarejestrowany: 2008-12-04
Re: jak zablokować możliwość logowania z internetu
Możesz iptabelkami zablokować ruch na konkretnych portach dla określonych maków, ipków.
Kod:
iptables -I FORWARD -s !ip_uprzywilejowane -p tcp --dport początkowy_port:końcowy_port -j DROP
W konfiguracji ssh możesz ustawić nasłuchiwanie tylko na lokalnym interfejsie. Możliwości jest tyle, ilu czytających ten wątek. Określ się dokładnie co chcesz zrobić i jaką masz topologię sieci.
Offline
#4 2011-04-07 16:35:23
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
Re: jak zablokować możliwość logowania z internetu
chodzi mi o to że chcę zablokować możliwość logowania na serwer, ponieważ ktoś ostatnio dostał mi się do serwera i chciał coś namieszać... Chcę móc administrować serwerem TYLKO z LANu a z netu żeby dostępu nie było
Offline
#5 2011-04-07 16:40:58
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
Jeśli chodzi o logowanie się po ssh to w pliku konfiguracyjnym /etc/ssh/sshd_config opcja :
ListenAddress i podaj adres ip od strony lanu
Ostatnio edytowany przez ba10 (2011-04-07 16:49:53)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline
#6 2011-04-07 17:22:39
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
Re: jak zablokować możliwość logowania z internetu
podałem IP od strony LANu i teraz wcale nie mogę się dostać na serwer...
Offline
#7 2011-04-07 17:38:47
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
:) No to piesza wycieczka Ciebie czeka :)
Czy adres ip, który podałeś w konfigu był adresem ip od strony lanu przypisany do interfejsu tego serwera i czy próbujesz się logować na ten serwer z komputera będącego w tym lanie ?
Ostatnio edytowany przez ba10 (2011-04-07 17:39:12)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline
#8 2011-04-07 18:11:39
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
Re: jak zablokować możliwość logowania z internetu
wycieczka zrobiona i zahaszowalem wpis wiec już wszystko działa... ale nadal nie mogę zablokować dostępu z netu...
komputery są w tym samym LANie ale DEBIAN jest klientem innego DHCP więc IP z którego się chciałem logować nie jest przypisany przez DEBIANa więc pewnie dlatego nie mógł się dostać...
Offline
#9 2011-04-07 18:17:49
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
Czyli nie masz dwóch kart sieciowych, do jednej jest dołączona sieć lan a do drugiej karty siec wan czyli wyjście na świat ? Ten serwer to router/brama dla sieci czy co to w ogóle jest ? i jak ta siec wygląda?
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline
#10 2011-04-07 18:21:42
DJ82 - Użytkownik
- DJ82
- Użytkownik
- Zarejestrowany: 2011-04-06
Re: jak zablokować możliwość logowania z internetu
serwer ma jedną kartę sieciową - podłączony jest jako klient sieci i ma przydzielony zewnętrzny IP.
Offline
#11 2011-04-07 18:28:17
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
Ok. To inaczej.
Na tym serwerze załóż sobie normalnego użytkownika. Następnie w pliku który już poznałeś ;) czyli /etc/ssh/sshd_config zainteresuj się takimi opcjami :
PermitRootLogin no - Brak możliwości zalogowania się na konto roota zdalnie.
Port - zmienić port na jakiś inny wysoki np. 54321 i oczywiście jak jest iptables to przepuścić ruch na tym porcie.
AllowUsers nazwa_uzytkownika - zezwolenie na logowanie się za pomocą ssh danego użytkownika, inni użytkownicy próbujący się zalogować będą "odrzucani". Wtedy logujesz się na zwykłego użytkownika i poleceniem su przełączasz się na konto root.
Takie parę opcji ale już ograniczające zdalny dostęp do maszyny.
Ostatnio edytowany przez ba10 (2011-04-07 18:30:59)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline
#12 2011-04-07 19:23:10
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: jak zablokować możliwość logowania z internetu
Do ssh w sshd_config ustawić:
Kod:
PermitRootLogin without-password
wygenerować klucze RSA 4096 albo nawet 16384 bity, albo DSA 1024 bity, i logować przy pomocy klucza.
A na siłowe włamania na ssh mały trik z iptables:
Kod:
iptables -N SSHSCAN
iptables -A INPUT -p tcp --dport {port-ssh} -m state --state NEW -j SSHSCAN
iptables -A SSHSCAN -m recent --set --name SSH
iptables -A SSHSCAN -m recent --update --seconds 1800 --hitcount 3 --name SSH -j DROPdo tego ssh na innym porcie - najlepiej 5 cyfrowym, a recent na porty z zakresu +-200 od portu ssh.
I tu się kończą możliwości skrypciarzy ;)
Ostatnio edytowany przez Jacekalex (2011-04-07 19:27:19)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#13 2011-04-07 19:45:09
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
Jacekalex napisał(-a):
A na siłowe włamania na ssh mały trik z iptables ....
lub po prostu zastosować fail2ban, który jest w repozytorium debiana.
Ostatnio edytowany przez ba10 (2011-04-07 19:45:53)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline
#14 2011-04-07 23:32:37
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: jak zablokować możliwość logowania z internetu
ba10 napisał(-a):
Jacekalex napisał(-a):
A na siłowe włamania na ssh mały trik z iptables ....
lub po prostu zastosować fail2ban, który jest w repozytorium debiana.
A po co ładować dodatkowego demona, który otwiera nowy proces, i wisi na procku, i może siąść po aktualizacji jakiejś biblioteki systemowej, jeśli to samo można w 15 sekund zrobić w firewallu?
Jeśli już koniecznie osoby demon, to chyba lepiej denyhosts, nie dlatego, żebym go specjalnie lubił, ale on przynajmniej ściagnie do /etc/host.deny czarną listę skrypciarzy z całego świata, zgłoszonych przez inne denyhosty. ;)
I też jest w repo Debiana.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-04-07 23:40:15)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#15 2011-04-08 07:32:20
ba10 - Członek DUG
Re: jak zablokować możliwość logowania z internetu
@Jacekalex
Ale przecież aplikacja fail2ban może robić wszystko to o czym piszesz :D
Po aktualizacji nic nie siada i nie jest to żadna jakaś mega aplikacja, która pożera zasoby, a jest dobrym wyborem dla początkujących jak i zaawansowanych użytkowników. Po prostu kolejny wybór, a to kto co wybierze jest jego prywatną sprawą.
Ostatnio edytowany przez ba10 (2011-04-08 08:04:42)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » jak zablokować możliwość logowania z internetu