HULK - Diskusije - Poslužitelj

HULK Forum Index

Poslužitelj

sshd

Pregledavanje ovog Threada: 1 Anonimnih Korisnika

Dno

Prethodna tema

Sljedeca tema

Postavke teme

Ocjena Threada

Ocijenite ovaj Thread
Izvrsno Dobro Prosjecno Loše Užasno

Pretražite forum

Pretražite forum

Napredno pretraživanje

Vrsta prikaza

Vrsta prikaza
Hijerarhijski prikaz
Prvo novije

Pošiljatelj	Thread

robi

sshd

Padawan

Pridružen: 01.01.2005

Od Pula

Poruke: 111
Level : 9
HP : 0 / 213

MP : 37 / 12726

EXP : 55

Grupa:
Registered Users
UrednikNovosti
UrednikLinkova

Na kojim portovima vrtite sshd? 22 ii neki viši. Čitam na newsima da dosta skeniraju ssh portove, a ja planiram uzeti aDSL pa baš mi se ne sviđa to.

Postano : 19.02.2005 11:55:28

spole

Re: sshd

Linuxaš wanna-be

Pridružen: 01.01.2005

Od ::1

Poruke: 32
Level : 4
HP : 0 / 85

MP : 10 / 5071

EXP : 40

Grupa:
Registered Users
UrednikNovosti
UrednikLinkova

na bilo kojem praznom portu na koji ga stavis se vrti. Naravno po defaultu na 22

To sto se skenira po ssh portovima nista ne znaci, jer to ucestalo skeniranje se s par mjera vrlo lako moze izbjeci.

1) uvodjenje dodatne grupe ili popisa korisnika koji smiju koristiti ssh
2) vatrozid koji ili blokira sasvim ssh port ili pusta spajanje na isti samo
iz nekih subneta.
3) kvalitetna lozinka koja se nemoze lako bruteforceati

sve gore navedeno da bi se primijenilo traje manje od 2 minute

i sa tim to skeniranje postaje apsolutno bezazleno...

Postano : 19.02.2005 16:38:54

kiki

Re: sshd

Linux Master

Pridružen: 06.01.2005

Poruke: 155
Level : 11
HP : 0 / 262

MP : 51 / 15617

EXP : 50

Grupa:
Registered Users

ovo imaj na umu:

Citat:

http://www.iana.org/assignments/port-numbers

digni iptables eventualno, shorewall (mdk ima i jedno i drugo) i pozatvaraj prema van sve portove koji ti ne trebaju.
ostavis otvorenim 80, 22, eventualno 10000 ako mislis koristiti webmin i izvana, ali OBAVEZNO na van u SSL modu, znaci kao https, pa portove za mail, i ostalo sto ti eventualno treba.
poslije se pogledas eventualno tu:
http://scan.sygatetech.com/ i ako se jako ne crveni je za po doma ok.

a, sad imas i dsl routere za par stotina kuna. pa je i to nekakva zastita. jedino sto na routeru moras dignuti port forvarding ako mislis nekim servisima pristupat izvana, al to je vec druga prica. opet sam zabrazdila.

Postano : 19.02.2005 21:39:04

robi

Re: sshd

Padawan

Pridružen: 01.01.2005

Od Pula

Poruke: 111
Level : 9
HP : 0 / 213

MP : 37 / 12726

EXP : 55

Grupa:
Registered Users
UrednikNovosti
UrednikLinkova

root@phoenix:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:ACK/ACK
ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state RELATED
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain dpts:1024:65535
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
REJECT     tcp  --  anywhere             anywhere            tcp dpt:ssh reject-with icmp-port-unreachable
Identd     tcp  --  anywhere             anywhere            tcp dpt:auth
DROP       icmp --  anywhere             anywhere            icmp echo-request
DROP       tcp  --  anywhere             anywhere            tcp dpts:nfsd:2050
DROP       tcp  --  anywhere             anywhere            tcp dpts:x11:6063
DROP       tcp  --  anywhere             anywhere            tcp dpts:afs3-fileserver:afs3-resserver
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:1056:65535
REJECT     tcp  --  anywhere             anywhere            tcp dpt:http reject-with icmp-port-unreachable
DROP       tcp  --  anywhere             anywhere            tcp spt:1241

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain Identd (1 references)
target     prot opt source               destination
ACCEPT     all  --  nano.vef.hr          anywhere
ACCEPT     all  --  titan.fpz.hr         anywhere
ACCEPT     all  --  pauk.ffzg.hr         anywhere
ACCEPT     all  --  blue.net4u.hr        anywhere
ACCEPT     all  --  bagan.srce.hr        anywhere

Jel' ok to?

Postano : 20.02.2005 10:41:58

robi

Re: sshd

Padawan

Pridružen: 01.01.2005

Od Pula

Poruke: 111
Level : 9
HP : 0 / 213

MP : 37 / 12726

EXP : 55

Grupa:
Registered Users
UrednikNovosti
UrednikLinkova

We have determined that your IP address is 213.202.65.180
This is the public IP address that is visible to the internet.
Note: this may not be your IP address if you are connecting through a router, proxy or firewall.

Trying to gather information from your web browser...
Operating System = Linux i686
Browser = Firefox 1.0

Trying to find out your computer name...

Unable to determine your computer name!

Trying to find out what services you are running...

Unable to detect any running services!

=========================================================================
=========================================================================

Inače ja koristim www.grc.com i www.auditmypc.com. Prvi mi sve kockice zelne, i one tri stavke osim portova su passed, a ovaj drugi mi javlja da su postavke dobre za prosječne surfere

Postano : 20.02.2005 11:05:22

slobodan

Re: sshd

Linux Master

Pridružen: 04.01.2005

Od 33 stupnja i 4 minute sjeverno, i zatim 5 koraka na zapad

Poruke: 2391
Level : 39
HP : 0 / 964

MP : 797 / 57339

EXP : 56

Grupa:
Webmasters
Registered Users
HULK
UrednikNovosti
UrednikRecenzija
UrednikLinkova
ModeratoriForuma
UrednikSekcija
UrednikBlogova
UrednikDogadjanja
UrednikDokumenata
UrednikKomentara

Kod INPUT chaina... Ako ti je default policy DROP, sve što eksplicitno nisi naveo kao ACCEPT će biti dropano kad paket prođe kroz sve rulove, tako da ti ne trebaju dodatni DROP.

_________________
Poći ću s vama jer volim šalu, hoću da vidim ježa budalu.

Put u Japan

Postano : 21.02.2005 4:26:15

kiki

Re: sshd

Linux Master

Pridružen: 06.01.2005

Poruke: 155
Level : 11
HP : 0 / 262

MP : 51 / 15617

EXP : 50

Grupa:
Registered Users

Za dial up je ok.

Kasnije, ako ti se da prckat po iptables:
Idealno je da ti je za sve portove koje ne zelis imati otvorene DROP, sto znaci da se port uopce ne javlja.

GRC je ok, ali sygatetech mislim ima vise mogucnosti. S lijeve strane ti je meni, PORT SCAN, TROJAN, etc, Onaj prvi SOS home, je tako, za na brzaka provjeriti.
Za pravu provjeru ides redom, sve.

Najpametnije je dignuti, bas kako kako kolega veli, defaupt policy na DROP, i onda otvarati sto ti treba.
Ipatables je jako mocan alat, sa brdo opcija, lako se izgubit, ja posteno priznam da cesto pogledam (i popravim) kroz webmin kaj sam napravila.

A auditmypc mi je vec drugi put zablesirao ht-ov dslam ili modem da sam ga morala iskljucivati iz zida.

Najbolje je pogledati na vise mjesta, koliko se kome da.

I jos jedna kvaka, Firefox izgleda ima bug, ne moze mu se namjestiti da ne prijavljuje verziju browsera vani.
ne radi ni kroz about :config, gdje se kao moze podesiti, ali NE klapa. U konqueroru mozes podesiti browser identification i os ident. na OFF.

Ja to radim.

Postano : 21.02.2005 14:34:02