* [Comm] root & SSHd @ 2005-06-02 7:07 Ivanov Maxim 2005-06-02 6:16 ` X-Stranger 2005-06-02 7:15 ` Genix 0 siblings, 2 replies; 21+ messages in thread From: Ivanov Maxim @ 2005-06-02 7:07 UTC (permalink / raw) To: community Здравствуйте, community. Уважаемые, подскажите, если кто знает: как в Мастере реализовано такая фича: удаленно по SSH подключиться сразу рутом нельзя, можно только пользователем, а потом через su - поднять свои привилегии до рутовых? Это как-то настраивается или реализовано как-то на уровне ядра? Я не хочу угробить эту замечательную вещь, просто интересно, КАК это сделано? ________________ С уважением, Максим Иванов ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] root & SSHd 2005-06-02 7:07 [Comm] root & SSHd Ivanov Maxim @ 2005-06-02 6:16 ` X-Stranger 2005-06-02 7:24 ` Re[2]: " Ivanov Maxim 2005-06-02 7:15 ` Genix 1 sibling, 1 reply; 21+ messages in thread From: X-Stranger @ 2005-06-02 6:16 UTC (permalink / raw) To: community В сообщении от 2 Июнь 2005 11:07 Ivanov Maxim написал(a): > Здравствуйте, community. > > Уважаемые, подскажите, если кто знает: > как в Мастере реализовано такая фича: удаленно по SSH подключиться > сразу рутом нельзя, можно только пользователем, а потом через su - > поднять свои привилегии до рутовых? > Это как-то настраивается или реализовано как-то на уровне ядра? Я не > хочу угробить эту замечательную вещь, просто интересно, КАК это > сделано? > Не поверите: одна опция в настройках демона SSH. /etc/openssh/sshd_config, параметр PermitRootLogin (on/off) X. Давайте не будем о суициде, тем более -- о его способах. -- aen in docs@ ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[2]: [Comm] root & SSHd 2005-06-02 6:16 ` X-Stranger @ 2005-06-02 7:24 ` Ivanov Maxim 2005-06-02 15:34 ` Dmitry V. Levin 0 siblings, 1 reply; 21+ messages in thread From: Ivanov Maxim @ 2005-06-02 7:24 UTC (permalink / raw) To: X-Stranger Здравствуйте, X-Stranger. Вы писали 2 июня 2005 г., 10:16:15: > В сообщении от 2 Июнь 2005 11:07 Ivanov Maxim написал(a): >> Здравствуйте, community. >> >> Уважаемые, подскажите, если кто знает: >> как в Мастере реализовано такая фича: удаленно по SSH подключиться >> сразу рутом нельзя, можно только пользователем, а потом через su - >> поднять свои привилегии до рутовых? >> Это как-то настраивается или реализовано как-то на уровне ядра? Я не >> хочу угробить эту замечательную вещь, просто интересно, КАК это >> сделано? >> > Не поверите: одна опция в настройках демона SSH. > /etc/openssh/sshd_config, параметр PermitRootLogin (on/off) Спасибо, это именно оно! _______________ С уважением, Максим Иванов ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] root & SSHd 2005-06-02 7:24 ` Re[2]: " Ivanov Maxim @ 2005-06-02 15:34 ` Dmitry V. Levin 2005-06-02 16:41 ` Re[2]: " Ivanov Maxim 2005-06-03 11:24 ` Maxim Bodyansky 0 siblings, 2 replies; 21+ messages in thread From: Dmitry V. Levin @ 2005-06-02 15:34 UTC (permalink / raw) To: ALT Linux general discussion list [-- Attachment #1: Type: text/plain, Size: 1026 bytes --] On Thu, Jun 02, 2005 at 11:24:05AM +0400, Ivanov Maxim wrote: > Вы писали 2 июня 2005 г., 10:16:15: > > В сообщении от 2 Июнь 2005 11:07 Ivanov Maxim написал(a): > >> > >> Уважаемые, подскажите, если кто знает: > >> как в Мастере реализовано такая фича: удаленно по SSH подключиться > >> сразу рутом нельзя, можно только пользователем, а потом через su - > >> поднять свои привилегии до рутовых? > >> Это как-то настраивается или реализовано как-то на уровне ядра? Я не > >> хочу угробить эту замечательную вещь, просто интересно, КАК это > >> сделано? > >> > > > Не поверите: одна опция в настройках демона SSH. > > > /etc/openssh/sshd_config, параметр PermitRootLogin (on/off) > > Спасибо, это именно оно! Помните, что подключение к сети сервера, у которого sshd запущен с настройками "PermitRootLogin yes" и "PasswordAuthentication yes", приведёт к тому, что этот сервер рано или поздно перейдёт в управление посторонними. Это экспериментально установленный факт. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[2]: [Comm] root & SSHd 2005-06-02 15:34 ` Dmitry V. Levin @ 2005-06-02 16:41 ` Ivanov Maxim 2005-06-03 11:24 ` Maxim Bodyansky 1 sibling, 0 replies; 21+ messages in thread From: Ivanov Maxim @ 2005-06-02 16:41 UTC (permalink / raw) To: Dmitry V. Levin Здравствуйте, Dmitry. Вы писали 2 июня 2005 г., 19:34:43: > On Thu, Jun 02, 2005 at 11:24:05AM +0400, Ivanov Maxim wrote: >> Вы писали 2 июня 2005 г., 10:16:15: >> > В сообщении от 2 Июнь 2005 11:07 Ivanov Maxim написал(a): >> >> >> >> Уважаемые, подскажите, если кто знает: >> >> как в Мастере реализовано такая фича: удаленно по SSH подключиться >> >> сразу рутом нельзя, можно только пользователем, а потом через su - >> >> поднять свои привилегии до рутовых? >> >> Это как-то настраивается или реализовано как-то на уровне ядра? Я не >> >> хочу угробить эту замечательную вещь, просто интересно, КАК это >> >> сделано? >> >> >> >> > Не поверите: одна опция в настройках демона SSH. >> >> > /etc/openssh/sshd_config, параметр PermitRootLogin (on/off) >> >> Спасибо, это именно оно! > Помните, что подключение к сети сервера, у которого sshd запущен с > настройками "PermitRootLogin yes" и "PasswordAuthentication yes", > приведёт к тому, что этот сервер рано или поздно перейдёт в управление > посторонними. Это экспериментально установленный факт. Да дело не в этом. Мне тут по работе попалась в руки сильно "исправленная" Мандрака, так там там - да, рутом можно войти сразу. Я просто по аналогии с Альтом хотел ее исправить в моем понимании. Именно из тех соображений, что Вы привели выше. _______________ С уважением, Максим Иванов ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] root & SSHd 2005-06-02 15:34 ` Dmitry V. Levin 2005-06-02 16:41 ` Re[2]: " Ivanov Maxim @ 2005-06-03 11:24 ` Maxim Bodyansky 2005-06-03 12:39 ` [Comm] " Michael Shigorin 2005-06-03 22:36 ` Re[2]: [Comm] " Alexey S. Kuznetsov 1 sibling, 2 replies; 21+ messages in thread From: Maxim Bodyansky @ 2005-06-03 11:24 UTC (permalink / raw) To: community On Thu, Jun 02, 2005 at 07:34:43PM +0400 Dmitry V. Levin wrote: > On Thu, Jun 02, 2005 at 11:24:05AM +0400, Ivanov Maxim wrote: > > Вы писали 2 июня 2005 г., 10:16:15: > > > В сообщении от 2 Июнь 2005 11:07 Ivanov Maxim написал(a): > > >> > > >> Уважаемые, подскажите, если кто знает: > > >> как в Мастере реализовано такая фича: удаленно по SSH подключиться > > >> сразу рутом нельзя, можно только пользователем, а потом через su - > > >> поднять свои привилегии до рутовых? > > >> Это как-то настраивается или реализовано как-то на уровне ядра? Я не > > >> хочу угробить эту замечательную вещь, просто интересно, КАК это > > >> сделано? > > >> > > > > > Не поверите: одна опция в настройках демона SSH. > > > > > /etc/openssh/sshd_config, параметр PermitRootLogin (on/off) > > > > Спасибо, это именно оно! > > Помните, что подключение к сети сервера, у которого sshd запущен с > настройками "PermitRootLogin yes" и "PasswordAuthentication yes", > приведёт к тому, что этот сервер рано или поздно перейдёт в управление > посторонними. Это экспериментально установленный факт. > А каким образом посторонний получит ключ от root'а? Вообще, посоветуйте, пожалуйста, грамотные меры для обеспечения безопастного доступа по ssh. -- WBR, Maximbo JID: maximbo@jabber.ru ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] Re: root & SSHd 2005-06-03 11:24 ` Maxim Bodyansky @ 2005-06-03 12:39 ` Michael Shigorin 2005-06-03 14:12 ` Maxim Tyurin 2005-06-03 15:14 ` [Comm] " Maxim Bodyansky 2005-06-03 22:36 ` Re[2]: [Comm] " Alexey S. Kuznetsov 1 sibling, 2 replies; 21+ messages in thread From: Michael Shigorin @ 2005-06-03 12:39 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 792 bytes --] On Fri, Jun 03, 2005 at 03:24:03PM +0400, Maxim Bodyansky wrote: > > Помните, что подключение к сети сервера, у которого sshd запущен с > > настройками "PermitRootLogin yes" и "PasswordAuthentication yes", > А каким образом посторонний получит ключ от root'а? Зачем ключ, в моде тупой перебор. Достаточно погрепать логи (наверное) любого сервера, постоявшего с :22 в мир. > Вообще, посоветуйте, пожалуйста, грамотные меры для > обеспечения безопастного доступа по ssh. Я не Дима, но: завёл привычку ограничивать при возможности доступ к :22 файрволом. При невозможности, а также в качестве дополнительной меры -- применяется knock. (так... надо и его в Sisyphus залить) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: root & SSHd 2005-06-03 12:39 ` [Comm] " Michael Shigorin @ 2005-06-03 14:12 ` Maxim Tyurin 2005-06-03 15:21 ` Dmytro O. Redchuk 2005-06-03 18:23 ` Michael Shigorin 2005-06-03 15:14 ` [Comm] " Maxim Bodyansky 1 sibling, 2 replies; 21+ messages in thread From: Maxim Tyurin @ 2005-06-03 14:12 UTC (permalink / raw) To: community Michael Shigorin writes: > On Fri, Jun 03, 2005 at 03:24:03PM +0400, Maxim Bodyansky wrote: >> > Помните, что подключение к сети сервера, у которого sshd запущен с >> > настройками "PermitRootLogin yes" и "PasswordAuthentication yes", >> А каким образом посторонний получит ключ от root'а? > > Зачем ключ, в моде тупой перебор. Достаточно погрепать логи > (наверное) любого сервера, постоявшего с :22 в мир. > >> Вообще, посоветуйте, пожалуйста, грамотные меры для >> обеспечения безопастного доступа по ssh. > > Я не Дима, но: завёл привычку ограничивать при возможности > доступ к :22 файрволом. При невозможности, а также в качестве > дополнительной меры -- применяется knock. (так... надо и его > в Sisyphus залить) Для этого надо еще точно знать с какого ip ты будешь заходить. Но вообще root login желательно запретить. И вообще давать ssh только по ключу (dsa 2048 тупо перебирать можно до пенсии). -- With Best Regards, Maxim Tyurin aka Bungarus JID: MrKooll@jabber.pibhe.com ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: root & SSHd 2005-06-03 14:12 ` Maxim Tyurin @ 2005-06-03 15:21 ` Dmytro O. Redchuk 2005-06-03 18:23 ` Michael Shigorin 1 sibling, 0 replies; 21+ messages in thread From: Dmytro O. Redchuk @ 2005-06-03 15:21 UTC (permalink / raw) To: community On Fri, Jun 03, 2005 at 05:12:04PM +0300, Maxim Tyurin wrote: > Но вообще root login желательно запретить. И вообще давать ssh только > по ключу (dsa 2048 тупо перебирать можно до пенсии). И ключ менять после каждой зарплаты ;О) > -- > > With Best Regards, Maxim Tyurin aka Bungarus > JID: MrKooll@jabber.pibhe.com -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] Re: root & SSHd 2005-06-03 14:12 ` Maxim Tyurin 2005-06-03 15:21 ` Dmytro O. Redchuk @ 2005-06-03 18:23 ` Michael Shigorin 2005-06-04 4:12 ` Maxim Bodyansky 1 sibling, 1 reply; 21+ messages in thread From: Michael Shigorin @ 2005-06-03 18:23 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 561 bytes --] On Fri, Jun 03, 2005 at 05:12:04PM +0300, Maxim Tyurin wrote: > > Я не Дима, но: завёл привычку ограничивать при возможности > > доступ к :22 файрволом. При невозможности, а также в качестве > > дополнительной меры -- применяется knock. (так... надо и его > > в Sisyphus залить) > Для этого надо еще точно знать с какого ip ты будешь заходить. Отнюдь. http://freshmeat.net/projects/knock/ http://paq.osdn.org.ua/~mike/tmp/knock-0.4-alt1.src.rpm -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: root & SSHd 2005-06-03 18:23 ` Michael Shigorin @ 2005-06-04 4:12 ` Maxim Bodyansky 2005-06-04 7:01 ` [Comm] std26 и HZ (а также knockd; was: root & SSHd) Michael Shigorin 0 siblings, 1 reply; 21+ messages in thread From: Maxim Bodyansky @ 2005-06-04 4:12 UTC (permalink / raw) To: community On Fri, Jun 03, 2005 at 09:23:05PM +0300 Michael Shigorin wrote: > On Fri, Jun 03, 2005 at 05:12:04PM +0300, Maxim Tyurin wrote: > > > Я не Дима, но: завёл привычку ограничивать при возможности > > > доступ к :22 файрволом. При невозможности, а также в качестве > > > дополнительной меры -- применяется knock. (так... надо и его > > > в Sisyphus залить) > > Для этого надо еще точно знать с какого ip ты будешь заходить. > > Отнюдь. > > http://freshmeat.net/projects/knock/ > http://paq.osdn.org.ua/~mike/tmp/knock-0.4-alt1.src.rpm Приятная программа (судя по описанию). А до Сизифа она пока не добралась? Есть какие-нибудь противопоказания к применению? -- WBR, Maximbo JID: maximbo@jabber.ru ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] std26 и HZ (а также knockd; was: root & SSHd) 2005-06-04 4:12 ` Maxim Bodyansky @ 2005-06-04 7:01 ` Michael Shigorin 2005-06-04 11:41 ` Alexey Borovskoy 2005-06-04 17:30 ` [Comm] std26 и HZ (а также " Maxim Bodyansky 0 siblings, 2 replies; 21+ messages in thread From: Michael Shigorin @ 2005-06-04 7:01 UTC (permalink / raw) To: community; +Cc: Sergey Vlasov [-- Attachment #1: Type: text/plain, Size: 1252 bytes --] On Sat, Jun 04, 2005 at 08:12:10AM +0400, Maxim Bodyansky wrote: > > http://freshmeat.net/projects/knock/ > > http://paq.osdn.org.ua/~mike/tmp/knock-0.4-alt1.src.rpm > Приятная программа (судя по описанию). Ага. И работает. > А до Сизифа она пока не добралась? Да пока в проект внедряли (в смысле как опакетили) -- запарка была лёгкая, не до сизифа. Вот придётся навёрстывать недолив ;-) Там ещё dialog с dual gauge есть, kiosktool-0.4.1-alt1, monit-4.5.1-alt1, openoffice-templates-1.0-alt1.2, phpldapadmin-0.9.3-alt1. Это прям под глазами. :) > Есть какие-нибудь противопоказания к применению? _Возможно_, на сильно нагруженных (упирающихся в процессор) системах это дополнительная нагрузка, в нашем случае больше проблем было из-за тормозящего скедулером 2.6 (и ещё больше -- из-за не рассчитанных на него таймаутов select() в софтине). 2 vsu: кстати, HZ поменьше надо бы сделать, по словам sr@. Он отгуглил вопрос и, в общем, народ так и не понял, с какого бодуна влепили 1000 (при этом оторвав настройку при сборке). Фикс у него готов и нам с ним полегчало (с сотней -- до уровня 2.4), может, 250 в std26? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] std26 и HZ (а также knockd; was: root & SSHd) 2005-06-04 7:01 ` [Comm] std26 и HZ (а также knockd; was: root & SSHd) Michael Shigorin @ 2005-06-04 11:41 ` Alexey Borovskoy 2005-06-04 12:35 ` [Comm] " Michael Shigorin 2005-06-04 17:30 ` [Comm] std26 и HZ (а также " Maxim Bodyansky 1 sibling, 1 reply; 21+ messages in thread From: Alexey Borovskoy @ 2005-06-04 11:41 UTC (permalink / raw) To: community, Sergey Vlasov [-- Attachment #1: Type: text/plain, Size: 476 bytes --] * Суббота 04 Июнь 2005 20:01 Michael Shigorin > 2 vsu: кстати, HZ поменьше надо бы сделать, по словам sr@. > Он отгуглил вопрос и, в общем, народ так и не понял, с какого > бодуна влепили 1000 (при этом оторвав настройку при сборке). > Фикс у него готов и нам с ним полегчало (с сотней -- до уровня > 2.4), может, 250 в std26? У asterisk какой-то из модулей отвалится. Ему нужен килогерц. -- Алексей. GPG key fingerprint 949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1 [-- Attachment #2: signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] Re: std26 и HZ (а также knockd; was: root & SSHd) 2005-06-04 11:41 ` Alexey Borovskoy @ 2005-06-04 12:35 ` Michael Shigorin 2005-06-04 12:51 ` [Comm] Re: std26 É HZ (Á ÔÁËÖÅ " Denis Smirnov 0 siblings, 1 reply; 21+ messages in thread From: Michael Shigorin @ 2005-06-04 12:35 UTC (permalink / raw) To: community; +Cc: Denis Smirnov, Sergey Vlasov, Serge Ryabchun [-- Attachment #1: Type: text/plain, Size: 624 bytes --] On Sun, Jun 05, 2005 at 12:41:04AM +1300, Alexey Borovskoy wrote: > > 2 vsu: кстати, HZ поменьше надо бы сделать, по словам sr@. > > Он отгуглил вопрос и, в общем, народ так и не понял, с какого > > бодуна влепили 1000 (при этом оторвав настройку при сборке). > > Фикс у него готов и нам с ним полегчало (с сотней -- до > > уровня 2.4), может, 250 в std26? > У asterisk какой-то из модулей отвалится. Ему нужен килогерц. В смысле забито и при этом реально нужно? PS: пойдёмте тогда в devel-kernel@, что ли... -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] Re: std26 É HZ (Á ÔÁËÖÅ knockd; was: root & SSHd) 2005-06-04 12:35 ` [Comm] " Michael Shigorin @ 2005-06-04 12:51 ` Denis Smirnov 0 siblings, 0 replies; 21+ messages in thread From: Denis Smirnov @ 2005-06-04 12:51 UTC (permalink / raw) To: devel-kernel; +Cc: community, Sergey Vlasov, Serge Ryabchun Michael Shigorin wrote: >>>2 vsu: кстати, HZ поменьше надо бы сделать, по словам sr@. >>>Он отгуглил вопрос и, в общем, народ так и не понял, с какого >>>бодуна влепили 1000 (при этом оторвав настройку при сборке). >>>Фикс у него готов и нам с ним полегчало (с сотней -- до >>>уровня 2.4), может, 250 в std26? >>> >>> >>У asterisk какой-то из модулей отвалится. Ему нужен килогерц. >> >> > >В смысле забито и при этом реально нужно? > >PS: пойдёмте тогда в devel-kernel@, что ли... > > Модуль zt_dummy. Нужен на подавляющем числе инсталляций Asterisk :( IP-телефония в некотором смысле realtime. И высокая частота реально нужна. Выход, IMHO -- ставить его только на wks-* ядра. Они у нас ближе всего к тому, что нужно для realtime приложений. ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] std26 и HZ (а также knockd; was: root & SSHd) 2005-06-04 7:01 ` [Comm] std26 и HZ (а также knockd; was: root & SSHd) Michael Shigorin 2005-06-04 11:41 ` Alexey Borovskoy @ 2005-06-04 17:30 ` Maxim Bodyansky 2005-06-06 14:55 ` [Comm] knockd; was: root & SSHd Michael Shigorin 1 sibling, 1 reply; 21+ messages in thread From: Maxim Bodyansky @ 2005-06-04 17:30 UTC (permalink / raw) To: community On Sat, Jun 04, 2005 at 10:01:07AM +0300 Michael Shigorin wrote: > On Sat, Jun 04, 2005 at 08:12:10AM +0400, Maxim Bodyansky wrote: > > > http://freshmeat.net/projects/knock/ > > > http://paq.osdn.org.ua/~mike/tmp/knock-0.4-alt1.src.rpm > > Приятная программа (судя по описанию). > > Ага. И работает. Угу. Даже как-то посветлело вокруг после её установки :) > > А до Сизифа она пока не добралась? > > Да пока в проект внедряли (в смысле как опакетили) -- запарка > была лёгкая, не до сизифа. Вот придётся навёрстывать недолив > ;-) > > Там ещё dialog с dual gauge есть, kiosktool-0.4.1-alt1, > monit-4.5.1-alt1, openoffice-templates-1.0-alt1.2, > phpldapadmin-0.9.3-alt1. Это прям под глазами. :) > > > Есть какие-нибудь противопоказания к применению? > > _Возможно_, на сильно нагруженных (упирающихся в процессор) > системах это дополнительная нагрузка, в нашем случае больше > проблем было из-за тормозящего скедулером 2.6 (и ещё больше -- > из-за не рассчитанных на него таймаутов select() в софтине). Это только _возможно_, или были реальные преценденты, когда не удавалось попасть на сервер? > 2 vsu: кстати, HZ поменьше надо бы сделать, по словам sr@. > Он отгуглил вопрос и, в общем, народ так и не понял, с какого > бодуна влепили 1000 (при этом оторвав настройку при сборке). > Фикс у него готов и нам с ним полегчало (с сотней -- до уровня > 2.4), может, 250 в std26? -- WBR, Maximbo JID: maximbo@jabber.ru ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] knockd; was: root & SSHd 2005-06-04 17:30 ` [Comm] std26 и HZ (а также " Maxim Bodyansky @ 2005-06-06 14:55 ` Michael Shigorin 0 siblings, 0 replies; 21+ messages in thread From: Michael Shigorin @ 2005-06-06 14:55 UTC (permalink / raw) To: community On Sat, Jun 04, 2005 at 09:30:38PM +0400, Maxim Bodyansky wrote: > > > Есть какие-нибудь противопоказания к применению? > > _Возможно_, на сильно нагруженных (упирающихся в процессор) > > системах это дополнительная нагрузка > Это только _возможно_, или были реальные преценденты, > когда не удавалось попасть на сервер? Не было, но искали, где tps проседает. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: root & SSHd 2005-06-03 12:39 ` [Comm] " Michael Shigorin 2005-06-03 14:12 ` Maxim Tyurin @ 2005-06-03 15:14 ` Maxim Bodyansky 2005-06-03 15:56 ` Nick S. Grechukh 1 sibling, 1 reply; 21+ messages in thread From: Maxim Bodyansky @ 2005-06-03 15:14 UTC (permalink / raw) To: community On Fri, Jun 03, 2005 at 03:39:32PM +0300 Michael Shigorin wrote: > On Fri, Jun 03, 2005 at 03:24:03PM +0400, Maxim Bodyansky wrote: > > > Помните, что подключение к сети сервера, у которого sshd запущен с > > > настройками "PermitRootLogin yes" и "PasswordAuthentication yes", > > А каким образом посторонний получит ключ от root'а? > > Зачем ключ, в моде тупой перебор. Достаточно погрепать логи > (наверное) любого сервера, постоявшего с :22 в мир. Эммм. Это же целую вечность займёт. Разве не так? > > Вообще, посоветуйте, пожалуйста, грамотные меры для > > обеспечения безопастного доступа по ssh. > > Я не Дима, но: завёл привычку ограничивать при возможности > доступ к :22 файрволом. При невозможности, а также в качестве > дополнительной меры -- применяется knock. (так... надо и его > в Sisyphus залить) А поднятие прослушиваемого порта на случайный не практикуется? Или это не кошерно? -- WBR, Maximbo JID: maximbo@jabber.ru ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: root & SSHd 2005-06-03 15:14 ` [Comm] " Maxim Bodyansky @ 2005-06-03 15:56 ` Nick S. Grechukh 0 siblings, 0 replies; 21+ messages in thread From: Nick S. Grechukh @ 2005-06-03 15:56 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 456 bytes --] В сообщении от Пятница 03 Июнь 2005 18:14 Maxim Bodyansky написал(a): > А поднятие прослушиваемого порта на случайный не практикуется? > Или это не кошерно? на то nmap существует. а вообще для port knocking - конечно случайные порты. -- Regards, Nick S. Grechukh NSG1-UANIC network administrator at many places :-) === ALT Linux fortune: ======================== Может, не стоит бросаться сразу делать первое, что пришло в голову? -- ldv in devel@ [-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re[2]: [Comm] root & SSHd 2005-06-03 11:24 ` Maxim Bodyansky 2005-06-03 12:39 ` [Comm] " Michael Shigorin @ 2005-06-03 22:36 ` Alexey S. Kuznetsov 1 sibling, 0 replies; 21+ messages in thread From: Alexey S. Kuznetsov @ 2005-06-03 22:36 UTC (permalink / raw) To: Maxim Bodyansky Hello! Friday, June 3, 2005, 4:24:03 AM, you wrote: > On Thu, Jun 02, 2005 at 07:34:43PM +0400 Dmitry V. Levin wrote: >> On Thu, Jun 02, 2005 at 11:24:05AM +0400, Ivanov Maxim wrote: >> > Вы писали 2 июня 2005 г., 10:16:15: >> > > В сообщении от 2 Июнь 2005 11:07 Ivanov Maxim написал(a): >> > >> >> > >> Уважаемые, подскажите, если кто знает: >> > >> как в Мастере реализовано такая фича: удаленно по SSH подключиться >> > >> сразу рутом нельзя, можно только пользователем, а потом через su - >> > >> поднять свои привилегии до рутовых? >> > >> Это как-то настраивается или реализовано как-то на уровне ядра? Я не >> > >> хочу угробить эту замечательную вещь, просто интересно, КАК это >> > >> сделано? >> > >> >> > >> > > Не поверите: одна опция в настройках демона SSH. >> > >> > > /etc/openssh/sshd_config, параметр PermitRootLogin (on/off) >> > >> > Спасибо, это именно оно! >> >> Помните, что подключение к сети сервера, у которого sshd запущен с >> настройками "PermitRootLogin yes" и "PasswordAuthentication yes", >> приведёт к тому, что этот сервер рано или поздно перейдёт в управление >> посторонними. Это экспериментально установленный факт. >> > А каким образом посторонний получит ключ от root'а? > Вообще, посоветуйте, пожалуйста, грамотные меры для > обеспечения безопастного доступа по ssh. запретить в фаерволе коннекты от неизвестных ИП, а также в /etc/hosts.deny прописать на всякий случай SSHD: ALL а в /etc/hosts.allow прописать разрешённые для ССХ ИП. -- Sincerely, Alexey S. Kuznetsov AK2351-RIPE ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] root & SSHd 2005-06-02 7:07 [Comm] root & SSHd Ivanov Maxim 2005-06-02 6:16 ` X-Stranger @ 2005-06-02 7:15 ` Genix 1 sibling, 0 replies; 21+ messages in thread From: Genix @ 2005-06-02 7:15 UTC (permalink / raw) To: community Ivanov Maxim wrote: > Уважаемые, подскажите, если кто знает: > как в Мастере реализовано такая фича: удаленно по SSH подключиться > сразу рутом нельзя, можно только пользователем, а потом через su - > поднять свои привилегии до рутовых? > Это как-то настраивается или реализовано как-то на уровне ядра? Я не > хочу угробить эту замечательную вещь, просто интересно, КАК это > сделано? man sshd поиск по слову Root -- У каждого в башке свои тараканы... ^ permalink raw reply [flat|nested] 21+ messages in thread
end of thread, other threads:[~2005-06-06 14:55 UTC | newest] Thread overview: 21+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-06-02 7:07 [Comm] root & SSHd Ivanov Maxim 2005-06-02 6:16 ` X-Stranger 2005-06-02 7:24 ` Re[2]: " Ivanov Maxim 2005-06-02 15:34 ` Dmitry V. Levin 2005-06-02 16:41 ` Re[2]: " Ivanov Maxim 2005-06-03 11:24 ` Maxim Bodyansky 2005-06-03 12:39 ` [Comm] " Michael Shigorin 2005-06-03 14:12 ` Maxim Tyurin 2005-06-03 15:21 ` Dmytro O. Redchuk 2005-06-03 18:23 ` Michael Shigorin 2005-06-04 4:12 ` Maxim Bodyansky 2005-06-04 7:01 ` [Comm] std26 и HZ (а также knockd; was: root & SSHd) Michael Shigorin 2005-06-04 11:41 ` Alexey Borovskoy 2005-06-04 12:35 ` [Comm] " Michael Shigorin 2005-06-04 12:51 ` [Comm] Re: std26 É HZ (Á ÔÁËÖÅ " Denis Smirnov 2005-06-04 17:30 ` [Comm] std26 и HZ (а также " Maxim Bodyansky 2005-06-06 14:55 ` [Comm] knockd; was: root & SSHd Michael Shigorin 2005-06-03 15:14 ` [Comm] " Maxim Bodyansky 2005-06-03 15:56 ` Nick S. Grechukh 2005-06-03 22:36 ` Re[2]: [Comm] " Alexey S. Kuznetsov 2005-06-02 7:15 ` Genix
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git