форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"как узнать  IP пользователя, зашедшего по SSH"

Сообщение от Serge (??) on 24-Окт-08, 15:16

Защищаю сервер. Задача такая, чтобы не "светить портами" постоянно в Инет завожу пользователя SSH. В качестве шелла ставлю ему скрипт, который добавляет правила, разрешающие подсоединение на порты 80, 110, и тот, что редиректится на терминал "from IP" Вопроса, собственно, два: 1. Я (user1) зашел по SSH. Как узнать IP, c которого я зашел, для того, чтоб указать его в правилах ipfw (при том что так же могут быть в это время подсоедены user2 и user3)? 2. В случае обрыва канала у user1, естественно, при повторном подключении надо удалить старые правила для user1. Поєтому вопрос второй - можно ли в ipfw add ....... указать комментарий (например имя юзера) для правила, который будет виден по ipfw list? Заранее благодарю.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "как узнать  IP пользователя, зашедшего по SSH"

Сообщение от Square (ok) on 24-Окт-08, 15:24

>[оверквотинг удален] >Вопроса, собственно, два: >1. Я (user1) зашел по SSH. Как узнать IP, c которого я >зашел, для того, чтоб указать его в правилах ipfw (при том >что так же могут быть в это время подсоедены user2 и >user3)? >2. В случае обрыва канала у user1, естественно, при повторном подключении надо >удалить старые правила для user1. Поєтому вопрос второй - можно ли >в ipfw add ....... указать комментарий (например имя юзера) для правила, >который будет виден по ipfw list? >Заранее благодарю. ви таки еще больший параноик чем я... я до такого бреда не додумался...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от Serge (??) on 24-Окт-08, 15:39
	>ви таки еще больший параноик чем я... я до такого бреда не >додумался... бред, между прочим, двигает прогресс и не дает застояться мозгам :-) А юникс системы тем и отличаются от винды, что админ делает то, что хочет и то, что ему надо, а не то, что позволяет система и навороты сторонних программ жду предложения?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от Square (ok) on 24-Окт-08, 16:15
	>>ви таки еще больший параноик чем я... я до такого бреда не >>додумался... > >бред, между прочим, двигает прогресс и не дает застояться мозгам :-) >А юникс системы тем и отличаются от винды, что админ делает то, >что хочет и то, что ему надо, а не то, что >позволяет система и навороты сторонних программ > >жду предложения? Бред ничего никуда не двигает. Он носит деструктивный характер, разрушает те ценности что уже есть и дает ложное направления для дальнейшей работы. предложение же такое: ликвидировать системную ошибку в ваших рассуждениях. в настоящий момент описанная вами схема предполагает получение доступа к серверу по защищенному каналу через ssh, и "включение" незащищенных портов для указанного адреса.. который может находится за  проксей например... То есть создавать уязвимость в рамках вашей концепции. С другой стороны, человек уже зашедший по ssh может воспользоватся всем комплексом сервисов (80, 110 и любые иные) через проброс портов по уже  установленному каналу. то есть налицо системное недомыслие.. или попросту глупость.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от Serge (??) on 24-Окт-08, 16:54
	Позвольте с Вами не согласиться. Когда-то считалась бредом мысль о том, что Земля вращается вокруг Солнца Когда-то считалась бредом мысль о том, что Земля не плоская Теорию относительности Эйнштейна тоже когда-то считали бредом шизофреника и .т.п. Любая мысль, идея, или теория имеет право на существование. Ну это так, лир. отступление. А задача такая - есть сервер, на котором крутится почта для локалки, сквид, и в локалке терминальный сервер. Задача - с нотиков, подключенных к инету через мобильник или диалап обеспечить юзерам работу максимально приближенную к условиям локалки и максимально простым методом. Включение портов происходит на время работы клиента, по его выходу все будет отключаться либо им вручную, либо автоматически по счетчику, который считает потоки с IP-шника юзера  раз в 10 минут и отлавливает момент, когда за 2 минуты не переслано ни одного байта. Для одного пользователя это уже давно мной сделано. Задача стала как "разрулить" нескольких. Или Вы предлагаете терминал, например,  открыть в мир?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от Square (ok) on 24-Окт-08, 16:59
	>Для одного пользователя это уже давно мной сделано. Задача стала как "разрулить" >нескольких. Или Вы предлагаете терминал, например,  открыть в мир? подключившись по ssh через putty например, пользователь может получить по этому каналу доступ ко всем все необходимым портам. называется проброс портов.. или форвард портов (с удаленной машины на локальную)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от Serge (??) on 24-Окт-08, 17:09
	>подключившись по ssh через putty например, пользователь может получить по этому каналу >доступ ко всем все необходимым портам. >называется проброс портов.. или форвард портов (с удаленной машины на локальную) Спасибо за идею, я попробую это тоже реализовать. Все познается в сравнении.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от sergetv on 25-Окт-08, 12:53
	>>подключившись по ssh через putty например, пользователь может получить по этому каналу >>доступ ко всем все необходимым портам. >>называется проброс портов.. или форвард портов (с удаленной машины на локальную) Я, честно говоря, не знал о такой возможности SSH. Поистине, любую задачу можно решить разными путями, и Unix мне снова и снова нравится все больше. Попробую разобраться с  пробросом портов для SSH-сессии.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от GAb on 24-Окт-08, 19:10
	Конечно, ИП + ЛОГИН ПАРОЛЬ. Не совсем понятно "максимально приближенную к условиям локалки и максимально" может им просто нужно дать доступ к файлам? Поднимите VPN.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от Keeper (??) on 26-Окт-08, 12:39
	>Для одного пользователя это уже давно мной сделано. Задача стала как "разрулить" >нескольких. Разве VPN не для этого был придуман?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от maxdukov on 24-Окт-08, 17:31
	>>ви таки еще больший параноик чем я... я до такого бреда не >>додумался... > >бред, между прочим, двигает прогресс и не дает застояться мозгам :-) >А юникс системы тем и отличаются от винды, что админ делает то, >что хочет и то, что ему надо, а не то, что >позволяет система и навороты сторонних программ > >жду предложения? дык - в переменных окружения посмотреть. IP клиента точно там есть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "как узнать  IP пользователя, зашедшего по SSH"

Сообщение от Pahanivo (??) on 26-Окт-08, 13:59

> 2. В случае обрыва канала у user1, естественно, при повторном подключении надо удалить > старые правила для user1. Поєтому вопрос второй - можно ли в ipfw add ....... указать > > комментарий (например имя юзера) для правила, который будет виден по ipfw list? Можно. Читаем маны. А вообще все это бред собачий!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от maxdukov on 27-Окт-08, 09:11
	>> 2. В случае обрыва канала у user1, естественно, при повторном подключении надо удалить > старые правила для user1. Поєтому вопрос второй - можно ли в ipfw add ....... указать > > комментарий (например имя юзера) для правила, который будет виден по ipfw list? > >Можно. Читаем маны. >А вообще все это бред собачий! Ну почему сразу "бред". Экзотические решения тем и хороши, что при продуманном исполнении заставляют и ломающую сторону наморщить мозг - просто в силу отстутсвия готового решения. Ну а по теме могу посоветовать посмотреть в сторону port knock. Суть та-же.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "как узнать  IP пользователя, зашедшего по SSH"
	Сообщение от Serge (??) on 27-Окт-08, 17:09
	>Ну почему сразу "бред". Экзотические решения тем и хороши, что при продуманном >исполнении заставляют и ломающую сторону наморщить мозг - просто в силу >отстутсвия готового решения. > >Ну а по теме могу посоветовать посмотреть в сторону port knock. Суть >та-же. Спасибо за понимание...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]