Size: a a a

2021 January 29

ДМ

Дмитрий Марков... in openSUSE | RU
Ra
А зачем в /root/.ssh помещать что-то? Ты заходишь от root?
есть парочка таких серверов
источник

R

Ra in openSUSE | RU
Я бы не советовал этого делать никому. Сразу нужно ставить PermitRootLogin no
И это
PasswordAuthentication no
PubkeyAuthentication yes
Лучше делать в самом конце, когда вход по ключу протестирован. Можно потерять доступ к серверу. Лучше держать несколько открытых терминалов с ssh
источник

R

Ra in openSUSE | RU
У кого какие есть рецепты, кстати, как с атаками на 22 порт бороться
источник

ДМ

Дмитрий Марков... in openSUSE | RU
Ra
У кого какие есть рецепты, кстати, как с атаками на 22 порт бороться
Рецептов вообще немного
Или менять порт
Или fai2ban
Или фаервол разрешающий только с определённых адресов
Или всёвместесразу
источник

ДМ

Дмитрий Марков... in openSUSE | RU
Ra
Я бы не советовал этого делать никому. Сразу нужно ставить PermitRootLogin no
И это
PasswordAuthentication no
PubkeyAuthentication yes
Лучше делать в самом конце, когда вход по ключу протестирован. Можно потерять доступ к серверу. Лучше держать несколько открытых терминалов с ssh
В локальной сети мона
источник

R

Ra in openSUSE | RU
у меня fail2ban, вход только по ключу
источник

R

Ra in openSUSE | RU
но весь лог всегда засран
источник

ДМ

Дмитрий Марков... in openSUSE | RU
Ra
но весь лог всегда засран
Не пофиг ли?
источник

ДМ

Дмитрий Марков... in openSUSE | RU
у нас на боевых серверах там где по какой-то причине остался 22 порт лог может за день гигов на 5 вырости из-за таких вот дел
пофиг
чистится он автоматом, есть пить не просит
источник

R

Ra in openSUSE | RU
На нашем ssh серваке куча портов, он используется как сервер тунелирования, через него мы заходим на удалённые серверы за nat.
источник

T

Tmp00 in openSUSE | RU
Александр Терехин
Ну я например не знаю как в консоли слушать COM-порт, а надобность была. Putty выручил
cat
источник

T

Tmp00 in openSUSE | RU
A.D.🈴
Дмитрий, а расскажи, как ты логины хранишь? Вот для винды китти. Для андроида джус ссш.

Там сохраняешь данные, потом сервак выбираешь и бам, магия, через пару секунд консоль.

А в Сьюзе мне приходится

ssh -l username server.address
...
password

Какие варианты быстрого коннекта есть?

С ходу, что сам придумал - ключи нагенерить (но это че-т уже сложно) и алиасы в баше создать.
Ключи надо использовать, а не пароли. Ничего сложного там нет
источник

s

shenmue in openSUSE | RU
Дмитрий Марков
у нас на боевых серверах там где по какой-то причине остался 22 порт лог может за день гигов на 5 вырости из-за таких вот дел
пофиг
чистится он автоматом, есть пить не просит
О - оптимизация
источник

T

Tmp00 in openSUSE | RU
Дмитрий Марков
1) генерируешь себе свою пару ключей
ssh-keygen
на выходе получаешь закрытый ключ который никогда и никому не показываешь и открытый содержимое которого копируешь везде куда хочешь ходить по ssh в
/home/USERNAME/.ssh/authorized_keys и в /root/.ssh/authorized_keys соответственно
2) настраиваешь ssh сервер на всех интересующих тебя нодах
чаще всего это файл /etc/ssh/sshd_config
в нём тебя щас больше всего инересуют две директивы:
PasswordAuthentication no
PubkeyAuthentication yes
3) настраиваешь свой конфиг клиента
~/.ssh/config для своего пользователя или /etc/ssh/ssh_config для всех пользователей тачки
там всё просто
Host blablabla
   User root
   Hostname 192.168.XXX.YYY
  /home/USER/SECRETDIR//keys/id_rsa_work

Host *
    ForwardAgent yes
    IdentityFile /home/username/.ssh/id_rsa
    ForwardX11 yes
    ForwardX11Trusted yes
    Port 22
    Protocol 2
    ControlMaster auto
    ControlPath /run/user/1000/ssh-%r@%h:%p
    AddKeysToAgent yes
    Compression yes
    #StrictHostKeyChecking no
    StrictHostKeyChecking accept-new


он работает по принципу первого совпадения так что Host * и всё что после него должны быть всегда в конце файла
А что это проверка ключей хоста отключена?
источник

T

Tmp00 in openSUSE | RU
Можно спокойно mitm реализовать
источник

T

Tmp00 in openSUSE | RU
Дмитрий Марков
Рецептов вообще немного
Или менять порт
Или fai2ban
Или фаервол разрешающий только с определённых адресов
Или всёвместесразу
@megal0maniak можно ещё закрыть порт и поставить knockd или fwknopd. Вобщем, порт открывать после простукивания
источник

ДМ

Дмитрий Марков... in openSUSE | RU
Tmp00
А что это проверка ключей хоста отключена?
специфика работы
некоторые виртуалки по 100 раз на дню перезаливаются, и куча новых создаётся, я просто устал, вообще да так делать не стоит
источник

ДМ

Дмитрий Марков... in openSUSE | RU
Tmp00
@megal0maniak можно ещё закрыть порт и поставить knockd или fwknopd. Вобщем, порт открывать после простукивания
кстати да knocking port классная тема, жаль только что ssh клиент не умеет эту фичу из коробки
источник

D[

DARIY [markw • mb4 •... in openSUSE | RU
Те кто шарит в btrfs, скажите, я правильно понимаю, что если включено luks шифрование btrfs, то подтома тоже шифруются? Ну как бы это логично, но мало-ли.
источник

ДМ

Дмитрий Марков... in openSUSE | RU
DARIY [markw • mb4 • rad] [pacman -Syu]
Те кто шарит в btrfs, скажите, я правильно понимаю, что если включено luks шифрование btrfs, то подтома тоже шифруются? Ну как бы это логично, но мало-ли.
luks шифрование это шифрование блочного устройства, и пофиг что внутри, любая фс или даже сырые данные без fs
неважно
источник