forum.opennet.ru - "грамотная настройка sshd" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"грамотная настройка sshd"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"грамотная настройка sshd"
Сообщение от Orlic (??) on 13-Дек-06, 19:39
Доброго времени суток. На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config): PermitRootLogin no StrictModes yes RSAAuthentication no PubkeyAuthentication yes AuthorizedKeysFile /etc/ssh/authorized_keys RhostsRSAAuthentication no HostbasedAuthentication no IgnoreUserKnownHosts yes IgnoreRhosts yes PasswordAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no UsePAM no Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с другого компа, выкидывает сразу после ввода логина. Все верно. Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса фильтровать, но при соединении с DIAL-UP он может быть любым (из диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, а потом проходила аутентификация уже пользователя. Спасибо.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

грамотная настройка sshd, Idontknow, 03:01 , 14-Дек-06, (1)
грамотная настройка sshd, lavr, 13:36 , 14-Дек-06, (2)

Сообщения по теме [Сортировка по времени, UBB]

1. "грамотная настройка sshd"

Сообщение от Idontknow on 14-Дек-06, 03:01

>Доброго времени суток.
>
>На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):
>
>PermitRootLogin no
>StrictModes yes
>
>RSAAuthentication no
>PubkeyAuthentication yes
>AuthorizedKeysFile /etc/ssh/authorized_keys
>
>RhostsRSAAuthentication no
>HostbasedAuthentication no
>
>IgnoreUserKnownHosts yes
>IgnoreRhosts yes
>
>PasswordAuthentication no
>PermitEmptyPasswords no
>
>ChallengeResponseAuthentication no
>UsePAM no
>
>
>Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с
>другого компа, выкидывает сразу после ввода логина. Все верно.
>
>Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса
>фильтровать, но при соединении с DIAL-UP он может быть любым (из
>диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно
>с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста,
>а потом проходила аутентификация уже пользователя.
>
>Спасибо.
Еще можно все пакеты перед передачей к sshd передавать админу на мыло, чтобы тот их проверял на легитимность :)
А вообще, если авторизация только по Pubkey да еще и длинна ключа >=4096, то можно смело
PermitRootLogin yes
Ну и доступ по маске сетки на файрволе никто не отменял, хотя кто знает с какого места еще зайти придется :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "грамотная настройка sshd"

Сообщение от lavr on 14-Дек-06, 13:36

>Доброго времени суток.
>
>На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):
>
>PermitRootLogin no
>StrictModes yes
>
>RSAAuthentication no
>PubkeyAuthentication yes
>AuthorizedKeysFile /etc/ssh/authorized_keys
бр-р-ррр ----------------^^^^^^^^^^^^^^^^^^^^^^^^- это зачем это для всех публичных
ключей один СИСТЕМНЫЙ файл? Хотя лично я могу понять смысл
>RhostsRSAAuthentication no
>HostbasedAuthentication no
>
>IgnoreUserKnownHosts yes
>IgnoreRhosts yes
>
>PasswordAuthentication no
>PermitEmptyPasswords no
>
>ChallengeResponseAuthentication no
>UsePAM no
>
>
>Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с
>другого компа, выкидывает сразу после ввода логина. Все верно.
>
>Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса
>фильтровать, но при соединении с DIAL-UP он может быть любым (из
>диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно
>с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста,
>а потом проходила аутентификация уже пользователя.
>
>Спасибо.
собственно ответ - почитайте факи и руководства, плюс документацию - многое проясняет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "грамотная настройка sshd"
Сообщение от Idontknow on 14-Дек-06, 03:01
>Доброго времени суток. > >На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config): > >PermitRootLogin no >StrictModes yes > >RSAAuthentication no >PubkeyAuthentication yes >AuthorizedKeysFile /etc/ssh/authorized_keys > >RhostsRSAAuthentication no >HostbasedAuthentication no > >IgnoreUserKnownHosts yes >IgnoreRhosts yes > >PasswordAuthentication no >PermitEmptyPasswords no > >ChallengeResponseAuthentication no >UsePAM no > > >Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с >другого компа, выкидывает сразу после ввода логина. Все верно. > >Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса >фильтровать, но при соединении с DIAL-UP он может быть любым (из >диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно >с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, >а потом проходила аутентификация уже пользователя. > >Спасибо. Еще можно все пакеты перед передачей к sshd передавать админу на мыло, чтобы тот их проверял на легитимность :) А вообще, если авторизация только по Pubkey да еще и длинна ключа >=4096, то можно смело PermitRootLogin yes Ну и доступ по маске сетки на файрволе никто не отменял, хотя кто знает с какого места еще зайти придется :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "грамотная настройка sshd"
Сообщение от lavr on 14-Дек-06, 13:36
>Доброго времени суток. > >На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config): > >PermitRootLogin no >StrictModes yes > >RSAAuthentication no >PubkeyAuthentication yes >AuthorizedKeysFile /etc/ssh/authorized_keys бр-р-ррр ----------------^^^^^^^^^^^^^^^^^^^^^^^^- это зачем это для всех публичных ключей один СИСТЕМНЫЙ файл? Хотя лично я могу понять смысл >RhostsRSAAuthentication no >HostbasedAuthentication no > >IgnoreUserKnownHosts yes >IgnoreRhosts yes > >PasswordAuthentication no >PermitEmptyPasswords no > >ChallengeResponseAuthentication no >UsePAM no > > >Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с >другого компа, выкидывает сразу после ввода логина. Все верно. > >Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса >фильтровать, но при соединении с DIAL-UP он может быть любым (из >диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно >с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, >а потом проходила аутентификация уже пользователя. > >Спасибо. собственно ответ - почитайте факи и руководства, плюс документацию - многое проясняет
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]