Sziasztok!
Sajnos telneten at vagyok kenytelen felugyelni nehany gepet, igy meg szeretnem tudni milyen modon lehetne csak kiszolgalo oldalon biztonsagosabba tenni.
- 1459 megtekintés
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
Alapvetés, hogy telnet. Van olyan, hogy köll. Én a következőt csinálnám: A telnettel rugdalandó hostok elé, hozzájuk minden szempontból közel leraknék egy PC-t. Odáig ssh, onnan meg telnet. Ha lehetséges, a telnetes hostok felé irányuló teljes forgalmat tűzfalazni, akkor az egy plusz lehetőség, hogy csak erről az "ugródeszkáról" engedni a telnet elérést.
A legjobb megoldás persze az ssh életre reszelése, amennyiben lehetséges -- nem sok OS-t ismerek, ahol nem...
- A hozzászóláshoz be kell jelentkezni
telnet bind localhostra, odaig pedig stunnel, client certtel
- A hozzászóláshoz be kell jelentkezni
Ha tud ilyet a telnet daemon, és ha tud az adott rendszerre stunnel-t, vagy más ssl-wrappert hegeszteni... Sajnos ahol ssh nincs/nem lehet, ott ez is kétséges...
- A hozzászóláshoz be kell jelentkezni
+1, vagy VPN
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni
Koszi legalabb igy csak az egyik rendszerre kel telneteznem, onnan ssh-val tudom a tobbit adminisztralni.
- A hozzászóláshoz be kell jelentkezni
Mármint fordítva: Egy helyre mész ssh-val, és onnan telnet-tel tovább. Olyan hálózaton, ami nem megbízható, lehetőlen nem használunk nyílt szövegben utazó jelszót.
Ha mindenképp telnet-et kell áttolni megbízhatatlan hálózaton, akkor a jelszókezelésre ott is, meg ahova belépsz, ott is tessék egyszer használatos jelszavakra áttérni, erre Linuxon ott az opie, van hozzá Linuxos, windows-os, illetve vejotp néven Java-s mobilra rakható alkalmazás, amivel tudsz jelszót generálni.
- A hozzászóláshoz be kell jelentkezni
Egy win. XP az OS (kb. alap telepitessel) a kliens oldalon amin a tulajdonos nem hasznalt korabban semmi ssh felet. Nem vagyok nagyon otthon az XP lehetosegeiben kapasbol csak a telnet ugrott be mint tavoli admin lehetoseg FreeBSD gepek fele. De javitsatok ki ha nem igy van. Bar telepithetnek, etikai okok miatt (kolcsonbe van a gep, es mas rendszerebe annyira kicsit nyulok bele amenyire csak lehetseges) nem teszm.
Szoval amig jobb lehetoseg nincs marad a telnet.
- A hozzászóláshoz be kell jelentkezni
putty-ot szedd le, még telepíteni se kell.
---
/* No comment */
Ketchup elementál megidézése a sajt síkra
- A hozzászóláshoz be kell jelentkezni
Koszi azt hittem telepiteni, hogy a putty-t telepiteni kell. Ezert nem hasznaltam.
- A hozzászóláshoz be kell jelentkezni
A putty/pscp páros hála a fejlesztőknek, telepítés nélkül megy gyakorlatilag minden windows-on. Ha szofisztikáltabb megoldásra vágysz, akkor lehet cygwin-t rakni a gépre, abban is van ssh és sshd is. Jó móka windows-on beállítani az sshd-t, aztán belépni rá ssh-val, és a képünkbe kapni a cmd.exe promptját :-)
- A hozzászóláshoz be kell jelentkezni
Ha a gépeden és szerver oldalon támogatott és konfigurálható a Kerberos, akkor kerberizált telnet klienssel sokkal biztonságosabb kapcsolatot lehet kialakítani: jelszavak nem kerülnek ki a hálózatra és a forgalom is titkosítható. Elég komplikált dolog kialakítani a Kerberos környezetet, kell KDC szerver amit mindegyik gép el kell érjen, a gépek idejét NTP-vel szinkronizálni kell. Csak akkor javasolnám, ha nem sikerül egy egyszerűbb megoldást találnod.
- A hozzászóláshoz be kell jelentkezni