Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[3.137.181.52] |
|
Сообщ.
#1
,
|
|
|
Добрый вечер.
На сколько я знаю имея доступ SSH можно ходить по всему серверу и смотреть практически все файлы. Как можно ограничить SSH терминал и тем же обеспечить безопасность сервера? Что используют опытные Сис Админы когда нужен SSH, но и нужна безопасность сервера |
Сообщ.
#2
,
|
|
|
Цитата staff @ На сколько я знаю имея доступ SSH можно ходить по всему серверу и смотреть практически все файлы. Знаешь неправильно. SSH - обеспечивает доступ с привелегиями залогиненного пользователя. Именно поэтому считается моветоном разрешать логин посредством SSH руту. Чтобы не было дыры/соблазна. Хочешь удаленно поадминистрить - пользуй команду su. Таким образом. Логинясь посредством SSH ты получаешь ровно такие же права, как бы ты залогинился в локальном терминале. Цитата staff @ Что используют опытные Сис Админы когда нужен SSH, но и нужна безопасность сервера По фэншую (именно для SSH): 1) Запретить логин руту напрочь 2) Запретить логин по паролям 3) Разрешить логин по ключам (ключи прописать для нужных пользователей в $HOME/.ssh/authorized_keys ... x) В пакетном фильтре (для FreeBSD это IPFW или PF) прописать правила на DDOS, SYN Flood, ICMP Flood ... гуглим короч |
Сообщ.
#3
,
|
|
|
еще можно если ip доступа известные, то закрыть 22 порт на сервере для всех, оставить только для ипок доступа
|
Сообщ.
#4
,
|
|
|
Цитата JoeUser @ Знаешь неправильно. Возможно я не так объяснил свой вопрос. Допустим есть два пользователя у которых есть доспук к SSH admin guest Далее у каждого пользователя есть своя папка %h admin /home/admin guest /home/guest Пользователь guest может зайти в папку /home/admin и прочитать информацию. Как и зайти в /etc/ и прочитать конфиг файлы сервера. Т.е. имея SSH прочитать он может практически всё? Как этого можно избежать? |
Сообщ.
#5
,
|
|
|
Цитата staff @ Пользователь guest может зайти в папку /home/admin и прочитать информацию. это правами поправить можно т.е. гостю дать право читать только то что надо посмотри это http://www.linux.org.ru/forum/admin/9123886 |
Сообщ.
#6
,
|
|
|
Я бы убедительно посоветовал изменить дефолтный 22 порт на какой-нибудь кракозябистый, типа 7951.
Как ни странно, но просто переназначение порта сильно отбивает желание стороннему злопыхателю шалить с SSH. Как минимум, злопыхателю нужно просканировать 8к портов, а это доооолго! Дальше начать ломиться по всем открытым портам и искать на каком висит SSH. А дальше уже пытаться его ломать. |