GoldenLine
Zaloguj się

konto usunięte

Temat: zdalna administracja - midpSSH czy inne ?

Ostatnio tak myslalem nad roznymi sposobami zarzadzania serverkami zdalnie i tak sie zastanawialem czy jezeli potrzebuje dostepu do shell'a to czy lepiej zrobic tunnel przez jakis port czy ssh na innym porcie wystarczy?
Tylko co jesli port ktory wybierzesz do ssh jest juz uzyty przez kogos do nieciekawych celow?
testowalem przez jakis czas midpssh z blackberry ale sie zastanawialem czy sa jakies jeszcze inne fajne tools?
Testowalem hamachi i vnc- pochodne ale co za duzo portow to nie zdrowo.
Tak wiec sie zastanawiam czy tunneling czy tylko ssh na innym porcie jest ok?
Osobiscie bym wolal nie wlaczac ssh i jak jest jakies ciekawsze rozwiazanie to bardzo chetnie bym przetestowal :).
Nie chodzi i o monitoring za pomoca Nagios, Cacti, mrt czy innych, tylko dostep do shella.
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: zdalna administracja - midpSSH czy inne ?

Tzn. jaki masz konkretnie problem do rozwiązania, który wyklucza normalne ssh?

ssh jest standardem i jak trzymasz system zaktualizowany, to nie widzę potrzeby bawić się w żadne tunelowanie, czy zmianę portów. Wystarczy wyłączyć logowanie do root'a i używać kluczy z hasłem jak chcesz być bezpieczny.
Link do wypowiedziLink

konto usunięte

Temat: zdalna administracja - midpSSH czy inne ?

Ernest Gulik:
Ostatnio tak myslalem nad roznymi sposobami zarzadzania serverkami zdalnie i tak sie zastanawialem czy jezeli potrzebuje dostepu do shell'a to czy lepiej zrobic tunnel przez jakis port czy ssh

Normalne zarządzanie serwerami "firmowymi" odbywa się przez sprzętowe karty zarządzające. W SUNach jest to aktualnie Service Processor i soft ILOM. Dla IBM soft typu HMC. To o czym mowisz to pewnie sam dostęp do systemu operacyjnego. Stawianie na to, że zawsze będzie dostęp do OS to za duże ryzyko ...
Link do wypowiedziLink
Jakub C.

Jakub C. One man army!

Temat: zdalna administracja - midpSSH czy inne ?

Krzysztof Pułapa:
Ernest Gulik:
Ostatnio tak myslalem nad roznymi sposobami zarzadzania serverkami zdalnie i tak sie zastanawialem czy jezeli potrzebuje dostepu do shell'a to czy lepiej zrobic tunnel przez jakis port czy ssh

Normalne zarządzanie serwerami "firmowymi" odbywa się przez sprzętowe karty zarządzające. W SUNach jest to aktualnie Service Processor i soft ILOM. Dla IBM soft typu HMC. To o czym mowisz to pewnie sam dostęp do systemu operacyjnego. Stawianie na to, że zawsze będzie dostęp do OS to za duże ryzyko ...

Ja bym się mimo wszystko zrobił SSH z ograniczeniem dostępu tylko z sieci lokalnej i w miarę potrzeb tunelował się chociażby przez PPTP...

A co do SSH na komórkę to pod symbianem na P1i miałem putty :-)Jakub Chojnacki edytował(a) ten post dnia 21.01.10 o godzinie 23:12
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: zdalna administracja - midpSSH czy inne ?

Jakub Chojnacki:
Ja bym się mimo wszystko zrobił SSH z ograniczeniem dostępu tylko z sieci lokalnej i w miarę potrzeb tunelował się chociażby przez PPTP...
Z ciekawości tylko - chodzi o coś więcej niż ochrona przed exploitami na ssh?
Link do wypowiedziLink

konto usunięte

Temat: zdalna administracja - midpSSH czy inne ?

Stanisław Pitucha:
Tzn. jaki masz konkretnie problem do rozwiązania, który wyklucza normalne ssh?

ssh jest standardem i jak trzymasz system zaktualizowany, to nie widzę potrzeby bawić się w żadne tunelowanie, czy zmianę portów. Wystarczy wyłączyć logowanie do root'a i używać kluczy z hasłem jak chcesz być bezpieczny.

Problem? Hmm.. przykladowo taki jaki jest ladnie opisany na tej stronce:
"Breaking Firewalls with OpenSSH and PuTTY"
http://souptonuts.sourceforge.net/sshtips.htm.

Jakis czas temu sie nauczylem ze praktycznie cos takiego jak security to nie istnieje i jedynie co mozemy zrobic to latac dziury ktore wychodza w praniu.. (hamsko powiedziane.. hehe), bo predzej czy pozniej ktos Ci udowodni ze sie mylisz mowiac ze to czy tamto jest bezpieczne.
Link do wypowiedziLink

konto usunięte

Temat: zdalna administracja - midpSSH czy inne ?

Problem? Hmm.. przykladowo taki jaki jest ladnie opisany na tej stronce:
"Breaking Firewalls with OpenSSH and PuTTY"
http://souptonuts.sourceforge.net/sshtips.htm.

Wystarczy w konfiguracji serwera SSH (openssh) uzyc opcji "PermitOpen" z odpowiednimi parametrami i po problemie.
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: zdalna administracja - midpSSH czy inne ?

Ernest Gulik:
Problem? Hmm.. przykladowo taki jaki jest ladnie opisany na tej stronce:
"Breaking Firewalls with OpenSSH and PuTTY"
http://souptonuts.sourceforge.net/sshtips.htm.
To jest by-design. To samo możesz zrobić logując się dowolnym innym sposobem do shella i odpalając tam `nc -p co_chcesz gdzie_chcesz` - i po swojej stronie bindując to pod inetd na przykład. Albo nawet odpalając skypt w bashu, który przemapuje /dev/tcp/... na stdin/out.
To jest niezależne od tego czym się łączysz. Jeśli chcesz, żeby userzy nie mogli się nigdzie łączyć, musisz sam o to zadbać odpowiednią konfiguracją i nie ma magicznego programu, który to za Ciebie zrobi.

Ten artykuł jest typu "jak zabić kogoś torebką herbaty", co nie znaczy wcale, że torebki herbaty są złe albo niebezpieczne... po prostu kolejne zastosowanie. Co do ssh - jak wyżej - wystarczy wyciąć userom opcje bindowania portów... i odinstalować telnet (i zablokować wyjście na firewallu i usunąć netcat i /dev/tcp w bashu i rsh i wget i gr_security i selinux i ...)

Albo zaprojektować tak sieć, żeby niezaufani ludzie nie łączyli się do hostów, które mają dostęp do wewnętrznego lanu albo hostów krytycznych dla firmy.Stanisław Pitucha edytował(a) ten post dnia 22.01.10 o godzinie 02:37
Link do wypowiedziLink

konto usunięte

Temat: zdalna administracja - midpSSH czy inne ?

Stanisław Pitucha:
wyżej - wystarczy wyciąć userom opcje bindowania portów... i odinstalować telnet (i zablokować wyjście na firewallu i usunąć netcat i /dev/tcp w bashu i rsh i wget i gr_security i selinux i ...)

i vi oraz gcc :)

bo niedobry gotów sobie jeszcze napisać i skompilować wytrych :)
Link do wypowiedziLink
Adam Tomasz K.

Adam Tomasz K. Zaawansowana
modyfikacja
rzeczywistości.

Temat: zdalna administracja - midpSSH czy inne ?

No i obowiązkowo usunąć Emacsa, bo "Emacsem przez semdmaila" jeszcze można. :-)
Link do wypowiedziLink
Łukasz G.

Łukasz G. Kierownik zespołu
analityków aplikacji
dla bankowości
kom...

Temat: zdalna administracja - midpSSH czy inne ?

Ernest Gulik:
Ostatnio tak myslalem nad roznymi sposobami zarzadzania serverkami zdalnie i tak sie zastanawialem czy jezeli potrzebuje dostepu do shell'a to czy lepiej zrobic tunnel przez jakis port czy ssh na innym porcie wystarczy?
Tylko co jesli port ktory wybierzesz do ssh jest juz uzyty przez kogos do nieciekawych celow?
testowalem przez jakis czas midpssh z blackberry ale sie zastanawialem czy sa jakies jeszcze inne fajne tools?
Testowalem hamachi i vnc- pochodne ale co za duzo portow to nie zdrowo.
Tak wiec sie zastanawiam czy tunneling czy tylko ssh na innym porcie jest ok?
Osobiscie bym wolal nie wlaczac ssh i jak jest jakies ciekawsze rozwiazanie to bardzo chetnie bym przetestowal :).
Nie chodzi i o monitoring za pomoca Nagios, Cacti, mrt czy innych, tylko dostep do shella.

Jak już chcesz się w to bawić, to postaw sobie knock-knock server.

Polega to na tym, że masz programik knock, który odpytuje serwer na odpowiednim porcie. http://nixbit.com/cat/system/monitoring/knock/
Po udanym 'pukaniu' otwierany jest przez iptables port na Twoje ip.
Rozwiązanie mało znane, dlatego dające poczucie bezpieczęństwa, przynajmniej większe niż samo ssh.
Link do wypowiedziLink

konto usunięte

Temat: zdalna administracja - midpSSH czy inne ?

Adam Tomasz Kajer:
No i obowiązkowo usunąć Emacsa, bo "Emacsem przez semdmaila" jeszcze można. :-)

Ja proponuje wyłączyć serwer. Taki będzie najbezpieczniejszy :)
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: zdalna administracja - midpSSH czy inne ?

Krzysztof Pułapa:

Normalne zarządzanie serwerami "firmowymi" odbywa się przez sprzętowe karty zarządzające. W SUNach jest to aktualnie Service Processor i soft ILOM. Dla IBM soft typu HMC. To o czym mowisz to pewnie sam dostęp do systemu operacyjnego. Stawianie na to, że zawsze będzie dostęp do OS to za duże ryzyko ...

To zalezy, jakiego rodzaju jest to serwer, tzn. co na nim chodzi i jak duze jest niebezpieczenstwo ze to "cos" moze na twardo zawiesic caly OS...
Na serwerach ktorymi administruje (sa to typowe serwery internetowe - poczta, DNS, WWW, jakas baza danych na potrzeby WWW, LDAP itd., generalnie standardowe uslugi) mam uptime'y po kilka lat. OS jest niedostepny wlasciwie tylko wtedy kiedy fizycznie wylacza sie serwer np. z powodu wymiany zasilania ;)
Link do wypowiedziLink

konto usunięte

Temat: zdalna administracja - midpSSH czy inne ?

Jarosław Rafa:
Na serwerach ktorymi administruje (sa to typowe serwery internetowe - poczta, DNS, WWW, jakas baza danych na potrzeby WWW, LDAP itd., generalnie standardowe uslugi) mam uptime'y po kilka lat. OS jest niedostepny wlasciwie tylko wtedy kiedy fizycznie wylacza sie serwer np. z powodu wymiany zasilania ;)

No ale ... jak daleko je masz ? :) Bo ja w PL, Europie, Ameryce Północnej i Południowej :)))) i nie wyobrażam sobie ryzykowania brakiem dostępu do zdalnej konsoli.Krzysztof Pułapa edytował(a) ten post dnia 22.01.10 o godzinie 11:05
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: zdalna administracja - midpSSH czy inne ?

Krzysztof Pułapa:

No ale ... jak daleko je masz ? :) Bo ja w PL, Europie, Ameryce Północnej i Południowej :)))) i nie wyobrażam sobie ryzykowania brakiem dostępu do zdalnej konsoli.

Jeżeli nie masz fizycznie przy serwerze nikogo, kto w razie potrzeby może wykonac podstawowe czynności typu włączenie, reboot itd. to faktycznie jest problem... Ja na szczęście mam :) A resztę mogę zrobic zdalnie...
Link do wypowiedziLink

konto usunięte

Temat: zdalna administracja - midpSSH czy inne ?

Jarosław Rafa:
Jeżeli nie masz fizycznie przy serwerze nikogo, kto w razie potrzeby może wykonac podstawowe czynności typu włączenie, reboot itd.

Oczywiście, że jest. Ale to jest tzw. "ostatnia deska ratunku". A jeśli jest niezależna karta zarządzająca to power off/on, reset ma w standardzie i nikogo nie trzeba fatygować.
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: zdalna administracja - midpSSH czy inne ?

Artur Szymczak:
Adam Tomasz Kajer:
No i obowiązkowo usunąć Emacsa, bo "Emacsem przez semdmaila" jeszcze można. :-)

Ja proponuje wyłączyć serwer. Taki będzie najbezpieczniejszy :)

Bez przesady -- wystarczy odłączyć internet :)
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: zdalna administracja - midpSSH czy inne ?

Łukasz Głębicki:
Polega to na tym, że masz programik knock, który odpytuje serwer na odpowiednim porcie. http://nixbit.com/cat/system/monitoring/knock/
Po udanym 'pukaniu' otwierany jest przez iptables port na Twoje ip.
Rozwiązanie mało znane, dlatego dające poczucie bezpieczęństwa, przynajmniej większe niż samo ssh.

Czy uważasz, że odpalenie ssh na niestandardowym porcie z autoryzacją tylko po kluczach publicznych daje małe poczucie bezpieczeństwa?
Link do wypowiedziLink
Łukasz G.

Łukasz G. Kierownik zespołu
analityków aplikacji
dla bankowości
kom...

Temat: zdalna administracja - midpSSH czy inne ?

Andrzej Kosela:
Łukasz Głębicki:
Polega to na tym, że masz programik knock, który odpytuje serwer na odpowiednim porcie. http://nixbit.com/cat/system/monitoring/knock/
Po udanym 'pukaniu' otwierany jest przez iptables port na Twoje ip.
Rozwiązanie mało znane, dlatego dające poczucie bezpieczęństwa, przynajmniej większe niż samo ssh.

Czy uważasz, że odpalenie ssh na niestandardowym porcie z autoryzacją tylko po kluczach publicznych daje małe poczucie bezpieczeństwa?

Dyskusja dotyczy sytuacji gdy tunel pozwala na zalogowanie do sieci wewnętrznej.
Zmiana portu zwiększa bezpieczeństwo, używanie kluczy również, ale ja miałem na myśli takie zabezpieczenie portu SSH, aby był niewidoczny podczas skanowania.
Zawsze może się zdążyć, że powstanie exploit zero day. Gdy masz 'usługę' schowaną, masz przynajmniej pewność, że w prosty sposób nikt się o niej nie dowie.
Ja nie neguję tej konfiguracji, gdyż stosowanie zmiany portów usług jest jedną z prostszych i bardzo skuteczną metodą na pozbycie się 'szablonowego' skanowana po portach. Ale w przypadku botnetów, mogą cię skanować z wielu hostów i nawet dobrze napisane reguły firewalla mogą ci nie pomóc.
Dla mnie serwis SSH na zmienionym porcie, do którego łączysz się po kluczu wraz z hasłem, oraz jesteś zasłonięty knock-serverem (regułami firewalla), to dobre zabezpieczenie i proste w implementacji.
Link do wypowiedziLink

konto usunięte

Temat: zdalna administracja - midpSSH czy inne ?

Artur Szymczak:
Adam Tomasz Kajer:
No i obowiązkowo usunąć Emacsa, bo "Emacsem przez semdmaila" jeszcze można. :-)

Ja proponuje wyłączyć serwer. Taki będzie najbezpieczniejszy :)

Popieram. Pociagnac siekiera po kablach. Wszystkich, bez litosci :)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj