( Vaddiszno | 2008. 08. 28., cs – 16:40 )

22-es port
"Ott van a HUP-on, de majd szólj, ha sikerült rá csatlakozni ;)"
"Ez csak lassítja a támadást. Ettől még kitalálható, hogy hol van az sshd. "

Én a _nem_célzott_támadások_ esetére írtam a 22es portos dolgot. Persze ha nem ott van ki lehet találni, no problemo, de ha van egy friss sshd exploit akkor a botszerverek nem céltalanul lődöznek randomIP:randomPort-ra, hanem randomIP:22-re (mert ugyebár ez a hatékony :-) kb 60000szer hatékonyabb :-) ). Azt pedig Te sem állíthatod, hogy a Nálad levő ssh szerver _biztosan_ bug-mentes. (Tehát nyilván nem én leszek, aki majd szól, ha sikerült csatlakozni.)

IP cím korlátozás: természetesen ha lehet használni kell is, én pont azt írtam, hogy a "nem lépünk be root-ként távolról, hanem sudo... alap" helyett vannak SOKKAL jobb megoldások.
Mellesleg ezt (kispista/su|sudo) sem tartom butaságnak, csak azt, hogy ebben merül ki az biztonsági "alap". Használja, aki szereti.
Másrészt nem kérdezősködök, hogy netfilterrel van-e a korlátozás, mert ne mondd el:-), szerintem a biztonság ott kezdődik, hogy nem pofázzuk ki az értékes infokat másoknak, nem? :-)

kispista: ha kispistán keresztül mész be és su, ugye nem nézed végig minden alkalommal pl a bash.rc bash.profile-t? Ha be tudok lépni én is átírhatom, és a su vagy sudo helyett vmi más futhat.
Nem tudom ezt nem értette-e, vagy hogy miért adhat hamis biztonságérzetet. (oda gondolj bele egy {ironikus} ... {/ironikus} tag-et)

Üdv