| |
| |
| 3.4, Аноним (-), 21:36, 30/01/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>Зачем?
Чтобы посторонние не могли подключиться. Или даже не узнали о существовании.
>как?
Точно так же, как и eepsite, невидимый из интернета, только порт другой.
| | |
| |
| 4.9, Stax (ok), 22:05, 30/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Так подключаться как - всюду ставить i2p? А если мне с телефона нужно заходить, например?
Уж лучше (если есть возможность в тех местах, куда заходишь, что-то ставить) ставить vpn-клиент, или использовать имеющийся. Поднять дома какой-нибудь vpn и пускать в ssh только для подключившихся. Больше ничего из vpn делать не давать, разумеется. А при риске компрометации достаточно убрать очередной логин или ключ из vpn и начать использовать новый.
| | |
| |
| 5.11, Аноним (-), 22:13, 30/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
SSH это уже какбы TELNET внутри VPN. Достаточно хороший в плане безопасности. Тут идея не добавить слой шифрования, а спрятать. Причём, несколько более надёжно, нежели в новости.
| | |
| |
| 6.24, анноним (?), 19:40, 02/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
Если речь о надежности, то не вполне понятно, зачем вообще что-то прятать при наличии шифрования (в т.ч. адекватного пароля)? Или важно именно утаить наличие ssh, но зачем?
| | |
| |
| 7.25, анноним (?), 19:47, 02/02/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Эх, уже сам прочитал на википедии. Да, может быть полезным в отдельных случаях..
| | |
|
|
|
|
|
| 2.13, Аноним (-), 23:51, 30/01/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А не лучше ли сделать доступ к SSH только из I2P?
И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...
| | |
| |
| 3.16, Xasd (ok), 03:05, 31/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...
а разве в i2p -- происходит постоянно то запуск то снова отключение JVM?
я наблюдал что проблемы производительности Java (JVM) ведь в:
1. долго стартуется.
2. много жрёт памяти.
я спрашиваю потому что ещё не использовал ни разу i2p, но вроде бы не слышал чтобы Java медленно выполняла бы программный код.
| | |
| |
| 4.20, Аноним (-), 08:10, 31/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...
> а разве в i2p -- происходит постоянно то запуск то снова отключение
> JVM?
нет, но при чем это тут?
| | |
|
|
|
| |
| 2.5, pavlinux (ok), 21:49, 30/01/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Баян великий! Из серии: Cебе жизнь засрал, а пароль всё равно "123qwerty"
| | |
| |
| |
| 4.22, pavlinux (ok), 16:29, 31/01/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> за ssh-пароли нужно расстреливать на месте
А давай я продолжу и ты сам повесишься! :)
Четвертовать, делать лоботомию, ректальное шунтирование, 10000-вольтную мезотерапию,... за:
- одинаковый SSH ключ ко всем 50 серверам;
- одинаковый логин на 50 серверах;
- генерацию SSH ключа с использованием не сертифицированного ГСЧ;
- хранение SSH ключей в не зашифрованном виде;
- хранение SSH ключей на не шифрованной файловой системе;
- использование одного и того же компьютера для доступа в интернет и хранения ключей;
- использование проводов периферийных устройств с повышенным ЭМИ.
- расположение монитора в менее, чем 90° к плоскости окна.
- расположение рабочего места в прямой видимости к траектории спутников!
- работа с ключами в помещении не оборудованном ГБШ
- работа с ключами в помещении имеющими толщину стен менее 50 см.
- работа в помещении без акта проверки на отсутствие передающих устройств.
....
| | |
|
|
| 2.19, Аноним (-), 07:21, 31/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
Гммм. Для защиты от replay-атаки тут предлагается использовать одинаковые секретные списки knock-последовательностей на сервере и клиенте. Значит, эти секретные списки заранее нужно создавать, копировать надёжным способом с сервера на клиент (или наоборот) и пополнять. Если речь идёт о такой хлопотной процедуре, может тогда не стесняться и сразу реализовать для обмена данными шифрование с бесконечным ключом?
| | |
|
| 1.6, Аноним (-), 21:57, 30/01/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
вот спасибо авторам, за то что вкусно пишут нам!
а для тех кто не читал - штатный ssh (клиент) умеет port knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?
| | |
| |
| 2.7, Alexvk (ok), 22:00, 30/01/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > а для тех кто не читал - штатный ssh (клиент) умеет port
> knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?
специальная тулза:
$nmap -sS -T Polite -p<port1>,<port2>,<portN>... <target>
| | |
| |
| 3.8, Аноним (-), 22:02, 30/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
ясно, в общем без алиасов не обойтись. спасибо, мил человек, уважил дедушку-анонимуса
| | |
|
| |
| 3.23, Andrey Mitrofanov (?), 19:34, 31/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> вот спасибо авторам, за то что вкусно пишут нам!
>> а для тех кто не читал - штатный ssh (клиент) умеет port
>> knocking? ну чтоб telnet/nc не заморачиваться.
ProxyCommand в ~/.ssh/config + netcat и, таки да, как бы скрипт.
>> Али может тулзы какие специальные?
Конечно! Ищите knocking в ближайшем к Вам app-store.
> http://roland.entierement.nu/blog/2008/08/19/netfilter-based-port-knocking.ht
Я себе ноком повесил один пинг _размером NMYZ байт. Одна строчка с -m recent. Всё лучше, чем перевешивание sshd на другой порт. Вписал ping в ~/.ssh/config. Да, netcat нужен, но без скриптов обошёлся.
> ---
> Где-то тут на форуме я скриптик писал, который раз в час генерит
http://www.google.com/search?q=iptables+knock+site:opennet.ru
и там же //knock скрипт pavlinux
> отсылает почту с уведомлением о доставке и только тогда меняет порты. :)
И ждёт, и читает это уведомление?B-O
| | |
| |
| 4.26, pavlinux (ok), 22:18, 02/02/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> И ждёт, и читает это уведомление?B-O
Да уже выкинул давно всё это, от скан-ботов - смены порта хватает,
от бутфорса - генератор паролей и 5 соединений в сек., больше - бан на три минуты.
и к тому же есть PAM с белым списком.
| | |
|
|
|
|
