Ako som vyriesil ssh cez adsl.

Sekcia: Konfigurácia 02.05.2015 | 21:28
Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

Mam adsl internet od Orangu a kamos od Telekomu, je to jedna siet. Ukazoval som mu, ako sa svojej mame pripojim na wifi a zo svojho domu u nej doma zaktulizujem system, nainstalujem napr. Skype a pod. Pacilo sa mu to a spytal sa, ci to neviem robit aj u neho, kedze je z Linuxu lavy a nechce nosit bednu stale ku mne. Byva v susednej obci, takze wifi nepripada do uvahy... Po mnohych dotazoch na forach (aj tu) som zistil, ze adsl modemy maju otvorene porty vacsinou 80 (no moj stary ma otvorene porty 21,23,80,1723). V modeme som nastavil NAT aby preposielal dotazy z outside 0.0.0.0 (any) port 80 na 192.168.1.101 port 80. Problem s pridelovanim IP adresy od ISP sme vyriesili tak, ze on mi telefonicky oznami, aku ma aktualne pridelenu adresu od ISP (aby som mu nemohol liezt len tak do pocitaca) a ja uz iba zadam ssh -p80 jozo@jeho_IP, system vyziada admin heslo, ktore som tam sam zadaval pri instalacii a som u neho... Pozn. -p80 nie je potrebne zadavat ak je uvedene v subore /etc/ssh/ssh_config Port 80.

    • RE: Ako som vyriesil ssh cez adsl. 02.05.2015 | 22:58
      Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor

      Pokiaľ sa pripájaš na nejaký stroj cez ssh tak potrebuješ zadať:

      ssh test@IP -p port

      Neviem či to funguje aj bez medzery (-pport). Ak sa chceš pripájať bez portu:

      ssh test

      tak potrebuješ mať vytvorený u seba config v ~/.ssh/config a tam mať informácie o danom stroji ako sú napr. alias, IP, meno usera, port.

      Linux without fckin systemd
      • RE: Ako som vyriesil ssh cez adsl. 04.05.2015 | 00:09
        Avatar LUcoRP Debian, *buntu, Android  Používateľ

        ak sa pripajas na standardnu 22-ku, tak potom staci ssh port@IP a nemsuis mat vytvoreny konfiguracny subor pripojenia, ani zadavat port, lepsie povedane port je vtedy automaticky predpokladany za 22. ak zadavas -p, tak funguje s medzerou, aj bez nej.

        • RE: Ako som vyriesil ssh cez adsl. 04.05.2015 | 08:25
          Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor

          Už som vyskúšal aj bez medzery. Pripájať sa na 22 je o h... Štandartne zakázať a povoliť na nejaký iný volný port.

          Linux without fckin systemd
          • RE: Ako som vyriesil ssh cez adsl. 04.05.2015 | 09:25
            Avatar LUcoRP Debian, *buntu, Android  Používateľ

            Zalezi od pouzitia. Na vlastnej lokalnej sieti, kde nepustas cudzich ludi je to ok, na virtualne devservery sa inak ani nepripajam. Ak to ma byt pristupne aj z vonku, tak to radsej riesim cez VPN nez forwardovanie portov, ale z hladiska bezpecnosti je v tomto pripade dobre zmenit navyse aj port, ako pises.

    • RE: Ako som vyriesil ssh cez adsl. 03.05.2015 | 09:37
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      Ale mne to funguje bez problemov, aj vcera vecer som  sa takto pripojil na mamin pocitac, ona mam Lubuntu a ja pouzivam PCLinuxOS LXDE 64-bit, ja som len chcel clankom dat navod ako na to. Uz nic neriesim (ohladom toho).

    • RE: Ako som vyriesil ssh cez adsl. 03.05.2015 | 10:21
      Avatar Fridolín Pokorný Fedora 21  Používateľ

      Podla popisu ma dynamicku IP. Skus sa pozriet na sluzby akou je no-ip, mozno pomoze.

    • RE: Ako som vyriesil ssh cez adsl. 03.05.2015 | 14:36
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      Ale ja sa nepotrebujem dostavat do jeho/ich pocitacov bez toho aby o tom vedeli a urcite to nechcu ani oni. No-IP nie je potrebne, ak budu mat problem zavolaju mi, povedia mi svoju aktualnu IP a ideme na to (ak im funguje internet a nabehne PC). Vsetko je OK.

      • RE: Ako som vyriesil ssh cez adsl. 03.05.2015 | 16:07
        Avatar Milan Dvorský debian,mint kde,android  Administrátor

        a co teamviewer? :)

        • RE: Ako som vyriesil ssh cez adsl. 03.05.2015 | 19:25
          Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

          To rovno odovzdaj doklady NSA :)

          Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
      • RE: Ako som vyriesil ssh cez adsl. 03.05.2015 | 16:13
        Avatar WlaSaTy   Návštevník

        NoIP a podobné služby pre dynamické DNS nie sú na zahladenie stôp, ale na odbúranie zisťovania a predávania IP adresy. Ono, návodík je to jednoduchý ale ja by som išiel cestou VPN. Prihlásia sa do Tvojej VPN a ty sa môžeš pokodlne na nich napojiť. Ale v tvojom prípade by som nad tým porozmýšľal až keď sa zvýši počet lokácií spravovaných strojov. Zatiaľ Ti to postačuje.

      • RE: Ako som vyriesil ssh cez adsl. 04.05.2015 | 03:33
        Avatar Fridolín Pokorný Fedora 21  Používateľ

        Pokial mas na tom stroji aktivny ucet, tak je to stale o dovere z ich strany. Dynamicka IP adresa v tomto pripade nehra ziadnu zabezpecovaciu rolu, islo mi skor o ulahcenie prace.

    • RE: Ako som vyriesil ssh cez adsl. 04.05.2015 | 08:52
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      NoIP som nechcel pouzit preto, ze sa tam vraj neda zmenit cislo portu a 22 je vraj najvacsi pocet utokov na ssh sluzbu a kedze aj modemy maju otvorene porty len 80... Zo zaciatku som skusal port 53035 ale modemom otvorenych je len par, hlavne ten 80. A v kope adsl modemov sa dalsie porty nedaju povolit. Ten teamviewer je vraj binarka, takze len Boh vie co vsetko to nastavi v systeme a co v pozadi robi. Preto nechcem ani Skype, ten je tiez vraj len binarka.

      • RE: Ako som vyriesil ssh cez adsl. 04.05.2015 | 09:45
        Avatar WlaSaTy   Návštevník

        NoIP nevyžaduje zmenu portu. Pri NoIP ide len o to, že sa budeš pripájať na adresu "babka.noip.com" namiesto 222.89.166.12 ktorú si budeš musieť prácne zisťovať. Ale to je jedno. Pozdravuj toho, čo spomínal že sa na NoIP nedá zmeniť port.

      • RE: Ako som vyriesil ssh cez adsl. 04.05.2015 | 21:30
        Avatar fico   Návštevník

        ... kedze aj modemy maju otvorene porty len 80... Zo zaciatku som skusal port 53035 ale modemom otvorenych je len par, hlavne ten 80. A v kope adsl modemov sa dalsie porty nedaju povolit...

        ty vole, ved ty si uplne mimo, vies o tom? to je neskutocne. predpokladam, ze vsetky tie kompy su uz davno v nejakom botnete...

    • RE: Ako som vyriesil ssh cez adsl. 05.05.2015 | 05:55
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      No jedna sa zatial len o jeden pocitac a ten mama zapina raz za den na take 2 hodiny, takze velky botnet to by nemoze, rozpis podrobnejsie co tym myslis....

    • RE: Ako som vyriesil ssh cez adsl. 21.05.2015 | 11:01
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      A akym sposobom by bolo mozne zapojit tie PC do botnetu ak pouzivam dost dlhe heslo, Protocol 2, PermitRootLogin je nastavene na no, takze musi utocnik najprv trafit uzivatelske meno a heslo a az potom root heslo, ip adresa sa meni kazdym novym vypnutim a zapnutim adsl modemu.... ?

      • RE: Ako som vyriesil ssh cez adsl. 21.05.2015 | 16:20
        Avatar WlaSaTy   Návštevník

        Na zapojenie sa do botnetu nepotrebuješ mať zdiskreditované root heslo, stačí ti zdiskreditovaná služba alebo uźívateľské heslo. Zmena IP adresy na to nemá vplyv.

        Nesúhlasím s tým ako to povedal, ale súhlasím s tým čo chcel povedať. Ak chce mať človek exponovaný stroj na internete, tak by mal mať základné znalosti konfigurácie exponovaných služieb a prístupov k nim. A ak ten exponovaný stroj používajú aj iné stroje, tak na nich to platí tiež. Je už len na tebe či sa s tým stotožníš.

    • RE: Ako som vyriesil ssh cez adsl. 10.06.2015 | 13:58
      Avatar gustopn   Návštevník

      najprv by som na to isol skrz HEnet tunnel, abych mal v kazdom LANe globalnu /64 IPv6.

      potom mozem ist do kazdeho pocitaca, kery scem, ak poznam adresu, staci len na firewalle otvorit port 22 pre forward. hotovo!

    • RE: Ako som vyriesil ssh cez adsl. 21.06.2015 | 18:29
      Avatar snuff   Návštevník

      zaujimave riesenie, ale tiez by som urcite nenechaval otvoreny pristup na ssh z internetu :)
      Ked uz chces nieco take riesit tak si sprav VPNku domov a mozes si lozit po vlastnej sieti kolko chces.

      alebo pouzi knockd ze ten port sa ti otvori az ked trafis spravnu sekvenciu a len pre Tvoju IP.

      a ked to uz z nejakeho dovodu chces mat otvorene nonstop tak jednoznacne zahardenovat sluzbu AppArmor (alebo selinux).

      Mas vyriesene iptables a logovanie toho konkretneho portu? Aby si nebol prekvapeny kolko pokusov o pristup tam najdes.

      • RE: Ako som vyriesil ssh cez adsl. 22.06.2015 | 08:55
        Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

        Stale sa jedna len o ten jeden pocitac - pocitac mojej mamy. Ten kamos, ktoremu som o tom rozpraval, zatial nic na dialku nepotreboval riesit, takze to nechal tak a nastavil by som mu to az ked najblizsie pridem k nemu a budem mu nieco nastavovat... Co sa tyka tych utokov, pozriem si log v pc mojej mamy, tam si to asi myslel, lebo moj pocitac by mal byt OK, kedze nemam otvoreny ziadny port.... ( ? ) 

        • RE: Ako som vyriesil ssh cez adsl. 22.06.2015 | 17:32
          Avatar snuff   Návštevník

          ano myslim pc tvojej mamy.. v principe by sa nic nemuselo stat kedze cez ssh sa utocnik neautentifukuje, no nikdy nevies ci neprejde nejaky exploit alebo ho da dole inym sposobom. proste  porty zvonku sa nepovoluju pokial na to nie je padny dovod a ked ano tak takyto PC patri do DMZ a  k  tomu na privatnu VLANu , neroutovanu siet a neviem co vsetko.. v dnesnej dobe na verejne IP adresy a rozne porty prebiehaju nonstop automatizovane utoky.. tisicky utokov denne. mozno aj viac. opravte ma niekto ak sa mylim ;)

    • RE: Ako som vyriesil ssh cez adsl. 23.06.2015 | 06:30
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      Prave tu o tom pisu:

      http://www.root.cz/clanky/utoky-na-ssh-je-jeste-bezpecne/

    • RE: Ako som vyriesil ssh cez adsl. 23.06.2015 | 11:02
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      Staci mi ak v konzole zadam prikaz last a dostanem vypis kto vsetko sa na ten pocitac pripaja ? Mali by tam byt iba : mama , ja a aj nejaky reboot tam furt je :)

      • RE: Ako som vyriesil ssh cez adsl. 23.06.2015 | 11:20
        Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor
        man last
        Linux without fckin systemd
        • RE: Ako som vyriesil ssh cez adsl. 23.06.2015 | 12:09
          Avatar snuff   Návštevník

          last ti je uplne na nic.

          ked uz tak skor /var/log/secure alebo /var/log/messages..ak mas vsetko defaultne nastavene. ale ked nevies co hladat tak to asi nenajdes.