Mam adsl internet od Orangu a kamos od Telekomu, je to jedna siet. Ukazoval som mu, ako sa svojej mame pripojim na wifi a zo svojho domu u nej doma zaktulizujem system, nainstalujem napr. Skype a pod. Pacilo sa mu to a spytal sa, ci to neviem robit aj u neho, kedze je z Linuxu lavy a nechce nosit bednu stale ku mne. Byva v susednej obci, takze wifi nepripada do uvahy... Po mnohych dotazoch na forach (aj tu) som zistil, ze adsl modemy maju otvorene porty vacsinou 80 (no moj stary ma otvorene porty 21,23,80,1723). V modeme som nastavil NAT aby preposielal dotazy z outside 0.0.0.0 (any) port 80 na 192.168.1.101 port 80. Problem s pridelovanim IP adresy od ISP sme vyriesili tak, ze on mi telefonicky oznami, aku ma aktualne pridelenu adresu od ISP (aby som mu nemohol liezt len tak do pocitaca) a ja uz iba zadam ssh -p80 jozo@jeho_IP, system vyziada admin heslo, ktore som tam sam zadaval pri instalacii a som u neho... Pozn. -p80 nie je potrebne zadavat ak je uvedene v subore /etc/ssh/ssh_config Port 80.
Ako som vyriesil ssh cez adsl.
Sekcia: Konfigurácia
02.05.2015 | 21:28
Radovan Prokop
Devuan (XFCE, 64bit, nonsystemd..... )
Používateľ
Pre pridávanie komentárov sa musíte prihlásiť.
Pokiaľ sa pripájaš na nejaký stroj cez ssh tak potrebuješ zadať:
Neviem či to funguje aj bez medzery (-pport). Ak sa chceš pripájať bez portu:
tak potrebuješ mať vytvorený u seba config v ~/.ssh/config a tam mať informácie o danom stroji ako sú napr. alias, IP, meno usera, port.
ak sa pripajas na standardnu 22-ku, tak potom staci ssh port@IP a nemsuis mat vytvoreny konfiguracny subor pripojenia, ani zadavat port, lepsie povedane port je vtedy automaticky predpokladany za 22. ak zadavas -p, tak funguje s medzerou, aj bez nej.
Už som vyskúšal aj bez medzery. Pripájať sa na 22 je o h... Štandartne zakázať a povoliť na nejaký iný volný port.
Zalezi od pouzitia. Na vlastnej lokalnej sieti, kde nepustas cudzich ludi je to ok, na virtualne devservery sa inak ani nepripajam. Ak to ma byt pristupne aj z vonku, tak to radsej riesim cez VPN nez forwardovanie portov, ale z hladiska bezpecnosti je v tomto pripade dobre zmenit navyse aj port, ako pises.
Ale mne to funguje bez problemov, aj vcera vecer som sa takto pripojil na mamin pocitac, ona mam Lubuntu a ja pouzivam PCLinuxOS LXDE 64-bit, ja som len chcel clankom dat navod ako na to. Uz nic neriesim (ohladom toho).
Podla popisu ma dynamicku IP. Skus sa pozriet na sluzby akou je no-ip, mozno pomoze.
Ale ja sa nepotrebujem dostavat do jeho/ich pocitacov bez toho aby o tom vedeli a urcite to nechcu ani oni. No-IP nie je potrebne, ak budu mat problem zavolaju mi, povedia mi svoju aktualnu IP a ideme na to (ak im funguje internet a nabehne PC). Vsetko je OK.
a co teamviewer? :)
To rovno odovzdaj doklady NSA :)
vsetko naj k narodeninam ti dodatocne zela SIS a portal LinuxOS.sk :)
Ďakujem.
NoIP a podobné služby pre dynamické DNS nie sú na zahladenie stôp, ale na odbúranie zisťovania a predávania IP adresy. Ono, návodík je to jednoduchý ale ja by som išiel cestou VPN. Prihlásia sa do Tvojej VPN a ty sa môžeš pokodlne na nich napojiť. Ale v tvojom prípade by som nad tým porozmýšľal až keď sa zvýši počet lokácií spravovaných strojov. Zatiaľ Ti to postačuje.
Pokial mas na tom stroji aktivny ucet, tak je to stale o dovere z ich strany. Dynamicka IP adresa v tomto pripade nehra ziadnu zabezpecovaciu rolu, islo mi skor o ulahcenie prace.
NoIP som nechcel pouzit preto, ze sa tam vraj neda zmenit cislo portu a 22 je vraj najvacsi pocet utokov na ssh sluzbu a kedze aj modemy maju otvorene porty len 80... Zo zaciatku som skusal port 53035 ale modemom otvorenych je len par, hlavne ten 80. A v kope adsl modemov sa dalsie porty nedaju povolit. Ten teamviewer je vraj binarka, takze len Boh vie co vsetko to nastavi v systeme a co v pozadi robi. Preto nechcem ani Skype, ten je tiez vraj len binarka.
NoIP nevyžaduje zmenu portu. Pri NoIP ide len o to, že sa budeš pripájať na adresu "babka.noip.com" namiesto 222.89.166.12 ktorú si budeš musieť prácne zisťovať. Ale to je jedno. Pozdravuj toho, čo spomínal že sa na NoIP nedá zmeniť port.
... kedze aj modemy maju otvorene porty len 80... Zo zaciatku som skusal port 53035 ale modemom otvorenych je len par, hlavne ten 80. A v kope adsl modemov sa dalsie porty nedaju povolit...
ty vole, ved ty si uplne mimo, vies o tom? to je neskutocne. predpokladam, ze vsetky tie kompy su uz davno v nejakom botnete...
No jedna sa zatial len o jeden pocitac a ten mama zapina raz za den na take 2 hodiny, takze velky botnet to by nemoze, rozpis podrobnejsie co tym myslis....
A akym sposobom by bolo mozne zapojit tie PC do botnetu ak pouzivam dost dlhe heslo, Protocol 2, PermitRootLogin je nastavene na no, takze musi utocnik najprv trafit uzivatelske meno a heslo a az potom root heslo, ip adresa sa meni kazdym novym vypnutim a zapnutim adsl modemu.... ?
Na zapojenie sa do botnetu nepotrebuješ mať zdiskreditované root heslo, stačí ti zdiskreditovaná služba alebo uźívateľské heslo. Zmena IP adresy na to nemá vplyv.
Nesúhlasím s tým ako to povedal, ale súhlasím s tým čo chcel povedať. Ak chce mať človek exponovaný stroj na internete, tak by mal mať základné znalosti konfigurácie exponovaných služieb a prístupov k nim. A ak ten exponovaný stroj používajú aj iné stroje, tak na nich to platí tiež. Je už len na tebe či sa s tým stotožníš.
najprv by som na to isol skrz HEnet tunnel, abych mal v kazdom LANe globalnu /64 IPv6.
potom mozem ist do kazdeho pocitaca, kery scem, ak poznam adresu, staci len na firewalle otvorit port 22 pre forward. hotovo!
zaujimave riesenie, ale tiez by som urcite nenechaval otvoreny pristup na ssh z internetu :)
Ked uz chces nieco take riesit tak si sprav VPNku domov a mozes si lozit po vlastnej sieti kolko chces.
alebo pouzi knockd ze ten port sa ti otvori az ked trafis spravnu sekvenciu a len pre Tvoju IP.
a ked to uz z nejakeho dovodu chces mat otvorene nonstop tak jednoznacne zahardenovat sluzbu AppArmor (alebo selinux).
Mas vyriesene iptables a logovanie toho konkretneho portu? Aby si nebol prekvapeny kolko pokusov o pristup tam najdes.
Stale sa jedna len o ten jeden pocitac - pocitac mojej mamy. Ten kamos, ktoremu som o tom rozpraval, zatial nic na dialku nepotreboval riesit, takze to nechal tak a nastavil by som mu to az ked najblizsie pridem k nemu a budem mu nieco nastavovat... Co sa tyka tych utokov, pozriem si log v pc mojej mamy, tam si to asi myslel, lebo moj pocitac by mal byt OK, kedze nemam otvoreny ziadny port.... ( ? )
ano myslim pc tvojej mamy.. v principe by sa nic nemuselo stat kedze cez ssh sa utocnik neautentifukuje, no nikdy nevies ci neprejde nejaky exploit alebo ho da dole inym sposobom. proste porty zvonku sa nepovoluju pokial na to nie je padny dovod a ked ano tak takyto PC patri do DMZ a k tomu na privatnu VLANu , neroutovanu siet a neviem co vsetko.. v dnesnej dobe na verejne IP adresy a rozne porty prebiehaju nonstop automatizovane utoky.. tisicky utokov denne. mozno aj viac. opravte ma niekto ak sa mylim ;)
Prave tu o tom pisu:
http://www.root.cz/clanky/utoky-na-ssh-je-jeste-bezpecne/
Staci mi ak v konzole zadam prikaz last a dostanem vypis kto vsetko sa na ten pocitac pripaja ? Mali by tam byt iba : mama , ja a aj nejaky reboot tam furt je :)
last ti je uplne na nic.
ked uz tak skor /var/log/secure alebo /var/log/messages..ak mas vsetko defaultne nastavene. ale ked nevies co hladat tak to asi nenajdes.