Fórumok
Szervusztok!
Úgy néz ki, hogy lassan összeáll életem első FTP szervere, valamint be is lehet SSH-zni erre a FreeBSD-s gépre. No-IP segítségével kívülsől is elérhető lesz idővel, DE:
ami most egy kicsit zavar biztonsági szempontból, hogy mennyire kockázatos az hogy most az FTP 21-es port, SSH 22-es port?
Jó ötlet-e ezeket más portokra átpakolni, illetve ez mennyivel növeli a biztonságot?
Az ftp szerveren nincs engedélyezve az Anonymous user, tehát user/pass -al lépnek be, de ezt így is akartam.
A legrövidebb jelszó jelenleg 6 karakter, de gondolom érdemes ezt is megnövelni.
Ötleteket várok, hogyan növeljem a biztonságot.
/mazursky
Hozzászólások
ssh -hoz egy denyhosts jo lehet.
--
http://blog.sartek.net
most nézem... ez jónak tűnik. Asszimilálom! ;~))
/mazursky
En is azt hasznalom, naponta 5-10 IP-t tesz deny-ra :)
Lenyegesen kisebbek lettek az auth.log -ok
_______________________________________________________
UBUNTU 8.04 Rock's!
Type cat /vmlinuz > /dev/audio to hear the Voice of God.
+1
Esetleg csak RSA kulcsos belépés...
--
Discover It - Have a lot of fun!
"Ötleteket várok, hogyan növeljem a biztonságot."
FTP-t kidobni, helyette SFTP-t.
"Vennek otthonra kutyat" "Nem jo sokat csahol, a macska jobb"
Bar az eredeti kerdes is baromsag...
Kedves Willy!
Miért baromság kidobni az FTP-t a biztonságra vágyó kollégának? Rádásul javasoltam neki egy alternatívát, ami valószínűleg tudja ugyanazt a funkcionalitást, ami kell neki. Tehát nem a kutya/macska esetéről van szó.
Azert, mert az sftp nem ftp. Nem is tudja ugyanazt, csak ugyanarra akarod hasznalni.(kutya - macska)
Egy ssl-es ftp semmivel sem rosszabb(sot), mint sftp.
Azért lehet érdemes eltenni, mert sok a script-kiddie szkriptecskéje nem fog folyton riasztásokat generálni, nem púposodik a /var/log a sok kísérlettől....
Az FTP clean-text-ben dolgozik: akármilyen hosszú jelszavad van, nem segít azok ellen, akiknek komolyak a szándékaik, a brute-force ellen persze jó.
SSH-nál érdemesebb kulcs alapú hitelesítés, illetve annak beállítása, hogy csak a megadott felhasználók léphessenek be.
Ha FTP-re és SSH-ra ugyanazt a jelszót használod, akkor az SSH értelmét veszti: használhatsz telnetet is...
Ha FTP-rőlesetleg csak letöltést akarsz, akkor érdemes az (asszem) simple-ftpd -t hasznáéni, ott az író funciók nincsenek implementálva, vagyis, egész egyzserűen nem megy a put és társai.
"Ha FTP-rőlesetleg csak letöltést akarsz, akkor érdemes az (asszem) simple-ftpd -t hasznáéni, ott az író funciók nincsenek implementálva, vagyis, egész egyzserűen nem megy a put és társai."
Nallam is ez a szitu. simple-ftp es SSH-n toltok fel.
_______________________________________________________
UBUNTU 8.04 Rock's!
Type cat /vmlinuz > /dev/audio to hear the Voice of God.
Igazatok van:
-semmibe sem kerül plusz egy júzert csinálni magamnak, ami csak az ftp-t használja, és az SSH-zós júzeremet kitiltom az FTP-ről.
-mivel kétirányú FTP forgalmazás is lesz, ezért maradok a ProFTPD mellett. A jelszavakat hosszabbítom. Át is teszem valami más portra, így első blikkre "nehezebb" (??? - tényleg: valóban nehezebb?) rájönni, hogy FTP szerver van a mittudomén 743-as porton (nem tudom, hogy van-e "idedrótozva" valami szolgáltatás).
SSH-t is átpakolom valami másik portra, hogy ne "púposodjanak" a logok, és hosszabb jelszót találok ki. A DenyHosts megoldás tetszik.
Még van egy probléma, amely gondot okozhat: NFS szerver is a gép, hogy szebb legyen, és hát előbb utóbb tartalom is lesz rajta, bár ez főként filmek, zenék, képek, de személyes dolgoktól mentesen. Inkább ez egy tárhely kedvenc filmjeimnek, hogy ne DVD-n porosodjanak.
/mazursky
"-mivel kétirányú FTP forgalmazás is lesz, ezért maradok a ProFTPD mellett. A jelszavakat hosszabbítom. Át is teszem valami más portra, így első blikkre "nehezebb" (??? - tényleg: valóban nehezebb?) rájönni, hogy FTP szerver van a mittudomén 743-as porton (nem tudom, hogy van-e "idedrótozva" valami szolgáltatás)."
Majdnem semmi jelentosege, mar alapbol vegigengednek 1 postscannert, hogy lassak mien service-k futnak. Ha mar portot cserelsz akor erdemes valami magass erteket beallitani, mert igy beletelik egy "kis" idobe amig folfedezik (pl: 33456).
_______________________________________________________
UBUNTU 8.04 Rock's!
Type cat /vmlinuz > /dev/audio to hear the Voice of God.
"a mittudomén 743-as porton" --> csak hasraütésképp írtam egy számot.
De ezek szerint bátrabban is üthettem vona a hasamra, hátha eltűnik az "úszóöv"/"sörhas"...
Pláne, hogy az évi alkohol fogyasztásom (amely kizárólagosan a sörre korlátozódik) nem tesz ki egy rekeszt sem. ;~))
Egyébként mennyivel több idő alatt fedezik fel mondjuk a 33456-os porton? Végülis biztos nyerek vele, mert nem ott keresik eleinte.
/mazursky
Amíg ssh 22-es porton volt, naponta 900-1000 kísérlet volt. Átraktam 40000 fölé kb. 2 éve, azóta egy sem.
Erre gondolok, nem akarok mindenáron a tűzvonalban lenni az FTP szerveremmel. Ugyanúgy az SSH szerveremmel sem.
Ez egy megnyugtató dolog volt, amit írtál.
/mazursky
ezert tettem at a routeremen az ssh-t es a webes interfeszt 30000+ portra, a load azota 1.00 alatt van.
Általában az első 1000 portot nézik főként ....
Amúgy meg próbáld ki, hogy egy port szkennerrel meddig tart mind a kb. 65535 port ...
NFS ugye csak "befelé", azaz a nagyvilág felé semmi jele nem lesz...?
NFS a /etc/exports szerint csak belefé.
Emlékeim szerint úgy van a tartalma, hogy
/megosztás -alldirs -maproot:0:0 192.168.bla.bla(rw) 192.168.bla.bli(rw)
Utánanéztem: az NFS a 2049-es porton "közlekedik", ami nincs nyitva sem az rc.firewall-ban sem a routeremen.
Azért ki fogom próbálni, jobb a nyugalom.
/mazursky
nekem úgy van megoldva, hogy a szerveren az alap portokon mennek az ssh és ftp cuccok (bár talán az ssh-t átállítottam, de már ne mis emlékszem), viszont a routeren ezek a portok nem jönnek át, hanem más, magasabb portokat kell használni, és a router teszi át a megfelelő kimenő portra. tehát 21-es porton nem tudsz beftp-zni, az zárva van, más portot kell használni.
nálam mezei portforward van a Routeren, így a 10000 feletti valamelyik porton jön be az SSH és FTP a routeren keresztül, és ezen a magasabb porton figyel a FreeBSD is.
A Router olcsóért volt, viszont van két USB portja is, print-szerveres.
/mazursky