sziasztok,
mivel iptables-sel csak par ip-t (ami fix) engedek ssh port kintrol, ezert nagyon hasznos lenne egy dinamikus cucc ami pl egy web loginra tolna egy accept rulet iptables-be kliens ip-vel, akar idozitett torlessel, akar klikkre mukodo torlessel... ilyen vagy ehhez hasonlo kesz free termek van-e? koszi!
(tudom hogy nem ordongosseg megirni egy ilyet, de ha mar letezik (vagy hasonlo) akkor nem akarom kitalalni)
- 1867 megtekintés
Hozzászólások
ssh key nem egyszerubb megoldas...?
- A hozzászóláshoz be kell jelentkezni
Szerintem a vége mindenképpen ez: ssh key.
Az eleje meg az, hogy kattintasz.
A gond meg az, hogy melyik böngésző/oprendszer/webmotor az amin kattingat mp-ként bármelyik scriptkiddy.
- A hozzászóláshoz be kell jelentkezni
ssh key-t hasznalok termeszetesen (es PasswordAuthentication no) , de ez nem megoldas arra, hogy a port tuzfal mogul ne is latszodjon
nem kell kattintgatni mp-kent, eleg egy login utan 30 percig iptables-ben ott a rule, utana vegye ki, ha hosszabb dolog kell akkor megyek a kenyelmetlenebb kerulo uton ssh fele...
- A hozzászóláshoz be kell jelentkezni
Inkabb az ssh figyeljen kifele mint egy valaki altal irt script ami iptablesben turkal :) Imho.
- A hozzászóláshoz be kell jelentkezni
az a valaki en leszek :) es nem a script log kifele, hanem egy cert based auth admin oldal, ahol gomb nyomasra hozza tudom addni egy bash script segitsegevel adott kiens ip-t iptables szabalyhoz... itt minden sajat cucc igy nem open source, igy meg ha bugos is, eleg nehezen kiismerheto, na tobbet nem mondhatok rola :) amugy koszi minden segitseget!
- A hozzászóláshoz be kell jelentkezni
"itt minden sajat cucc igy nem open source, igy meg ha bugos is, eleg nehezen kiismerheto"
pfff...
"az a valaki en leszek :)"
annal inkabb.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Esetleg SSH helyett valamilyen webes terminál https felett. Pl. ShellInABox, Ajaxterm, WebShell, Anyterm
--
Légy derűs, tégy mindent örömmel!
- A hozzászóláshoz be kell jelentkezni
koszi, ezek pofasak, ha nem talalok kesz cuccot, es lusta leszek akkor valami ilyen megoldas lesz
- A hozzászóláshoz be kell jelentkezni
Inkább írd meg azt a 10 sort, mert ha felraksz egy floss-t és baszol frissíteni, akkor szophatsz miatta.
- A hozzászóláshoz be kell jelentkezni
inkabb kopogtass:
- A hozzászóláshoz be kell jelentkezni
ez nagyon szimpi es altalanos megoldas, egyetlen dolog hogy tobb portot is hasznalni kell (sot minel biztonsagosabbat akarok annal tobb port), bar lehet sequence-cel is jatszani, de neha olyan helyen vagyok ahol csak web es ssh megy ki :(
- A hozzászóláshoz be kell jelentkezni
Mert ugye az iptables-ben taknyolo webes szornyuseg sokkal secure-abb lesz, mint az opensshd.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
ez ket kulon dolog, semmi koze sshd biztonsaganak egy tuzfal szabalyokat gyarto scripthez, na mind1... egyelore megy sajat cuccal, amig nem talalok jobbat...
- A hozzászóláshoz be kell jelentkezni
Na megint az jön ki, hogy kár ide jönni. :)
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Nyílván nem az lesz a scriptben, hogy
exec("sudo iptables -A INPUT -p tcp -s $_GET[ip] -j ACCEPT");
Ennél mindenkinek több esze van.
Engem az jobban zavarna, hogy így a php-t futtató usernek sudo jogot kell adni(arról ne is beszéljünk, ha eleve rootként fut), ami egy esetleges hack-nél - ami nem csak emiatt a php miatt lehet - az egész rendszert kiszolgáltatja.
Egyébként a legtöbb botnet, stb. ellen jó megoldás az is, ha az ssh egy megfelelően nagy porton fut, az iptables-be pedig beleraksz egy kis portscan elleni védelmet.
---
BME-VIK '09
Compaq Mini 311 - N270 @ 2323 MHz - 3GB DDR3 @ 1240 MHz - ION
- A hozzászóláshoz be kell jelentkezni
Miért is kellene bármilyen jogot adni a phpnek?
Van pipe, esetleg fsockopen(de ez valószínű ki van kapcsolva)+vmi localhoston futó app ami figyel. Vagy cron feldolgozza az adott filet vagy az adatbázisban az adott táblát, amibe csak beleírja az aktuális IPjét.
- A hozzászóláshoz be kell jelentkezni
Oké, hirtelen ilyenekre nem is gondoltam :)
Így, ha normálisan meg van vizsgálva az input mindenféle injektálás ellen, akkor akár működőképes is lehet, és szintén a cron ki is törölheti a táblából.
php-cli használatával egész egyszerű is lenne összedobni a scriptet, ami ezt elvégzi :)
---
BME-VIK '09
Compaq Mini 311 - N270 @ 2323 MHz - 3GB DDR3 @ 1240 MHz - ION
- A hozzászóláshoz be kell jelentkezni
Ez nem is működne, ha már előtte le van zárva a port iptables-szel.
Megjegyzem _akár_ mehet ez így is, ha le van védve user/pass-al a script vagy a domain-en van egy htaccess.
(nameg: $_GET[ip] helyett REMOTE_ADDR )
- A hozzászóláshoz be kell jelentkezni
Már ha mindenképp a lekérdező ip-t akarja, akkor igen, de ahogy fönn írta, úgy vettem ki, hogy hozzá akar adni egy ip-t.
A másikban igazad van, szóval legyen iptables -I :)
---
BME-VIK '09
Compaq Mini 311 - N270 @ 2323 MHz - 3GB DDR3 @ 1240 MHz - ION
- A hozzászóláshoz be kell jelentkezni
igen, a sajátját! hogy be tudjon lépni.
megoldás még a dyndns is és akkor nem kell login előtt pöcsölni. Nem féltem vasi-t, megfogja oldani pár perc alatt magának.
- A hozzászóláshoz be kell jelentkezni