allow 2 computers 22 port

[ANGELDEAD]

2 kompjutera trebaju imati pristup 22 port-y na jednom masini.

Naravno, prvo ukucamo:

Kod:

iptables -I INPUT -p tcp -m tcp --dport 22 -j REJECT

kako niko ne bi mogao pristupiti 22 port-y

1. kompjuter je u UK, i ima staticki IP, pa je za njega i lako:

Kod:

iptables -I INPUT -s xxx.xxx.xxx.xxx -p tcp -m tcp --dport 22 -j ACCEPT

medjutim 2. kompjuter je moj laptop, koji ima dinamicki ip, pa onda moram da radim preko mac adrese, medjutim to nece da radi:

Kod:

iptables -A INPUT -p tcp --dport 22 -m mac --mac-source xx.xx.xx.xx.xx.xx -j ACCEPT

pokusavao sam i

Kod:

iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source xx.xx.xx.xx.xx.xx -j ACCEPT

ali nece.

Laptop je prikljucen wireless-om na modem. Pa sam kucao mac adresu wireless karticu sa laptop-a, pa sam onda pokusao da ukucam i mac adresu modem-a, al i dalje nece, jedino kada ukucam:

Kod:

iptables -I INPUT -p tcp -m tcp --dport 22 -j ACCEPT

onda radi normalno, ali onda svi mogu da pristupaju 22 port-y.

EDIT:
OS: Debian 6.0.3
1. komp vjerovatno CentOS (posto ima cpanel, webhost masina)
2. komp win 7

mac adresu sam gledao preko: Win+r, cmd, ipconfig/all i onda nasao Wireless LAN adapter Wireless network connection i onda na physical address.

Unapred HVALA!

[Neutrino]

Malo poduži tekst ali verujem da će biti bar malo od koristi

Izbaci MAC adrese kompletno iz priče. Nepouzdane su, lako ih je spoofovati i na kraju u 99,9% slučajeva naprave problem.

Što se tvog konkretnog problema tiče imaš nekoliko mogućnosti koje variraju od jednostavnih do komplikovanih.

1. Promeni default SSH port sa porta 22 na neki nestandardni high port (recimo 1747 ili 2222). Najveći broj exploit botova očekuje SSH odgovor na portu 22 tako da bi na ovaj način eliminisao bar 99% hitova potencijalnih napadača.

2. Napravi neki sistem dojave serveru tako da sazna tvoju IP adresu i osveži iptables pravila. Za ovo bi bilo dovoljno da napraviš neku jednostavnu web aplikaciju (recimo PHP) koja bi prihvatila zahtev iz browsera tipa

Kod:

domen.com?287430ab3d176313178137

ili ako nemaš domen dovoljan je i IP na kojem Apache sluša

IP_ADRESA??287430ab3d176313178137

gde bi ovaj token na kraju sadržao u sebi IP adresu koja treba da se doda u INPUT chain firewalla. Problem kod ovog pristupa je što bi web aplikacija morala da radi pod privilegovanim korisnikom (recimo sudo) pa to ponekad može da bude rizičnije od drugih metoda.

3. Koristi neki port-kocking (http://www.portknocking.org/) server koji će recimo na odgovarajuću kombinaciju zahtevanih portova startovati sshd deamon ili dozvoliti SSH komunikaciju na zadatom portu. Za CentOS u RPMForge repou možeš da nađeš knockd (http://www.zeroflux.org/projects/knock) mada je lista port-knocking servera poduža. Ono što je bitno je da za port-knocking aplikacije moraš da otvoriš sve portove koje nameravaš da koristiš u kombinaciji tako da ovo može da predstavlja ponekad i problem jer port skeneri umeju nasumično da šalju zahteve za otvorenim portom ne bi li eventualno izazvali to što port-knocker server treba da uradi.

4. Traži od svog provajdera fiksnu IP adresu. Najveći broj WiFi operatera dodeljuje dinamičke IP adrese svojim klijentima ali uvek imaju u šteku par fiksnih IP adresa koje mogu da dodele klijentima kojima su potrebne. Ovo se naravno ponekad malo više plaća ali opet najmanja je muka

Što se mene lično tiče iz iskustva mogu da kažem da je pomeranje SSH porta u kombinaciji sa jakom šifrom ili još bolje key sertifikatom sasvim dovoljna zaštita. Ako nisi upoznat sa principom kreiranja key serifikata za Putty (pominješ Windows pa pretpostavljam da koristiš Putty) evo jednog odličnog uputstva kako se to radi - http://www.howtoforge.com/ssh_key_based_logins_putty

Ono što je u svakom slučaju dobro uraditi je zabrana direktnog logovanja privilegovanih korisnika (recimo root) a to se postiže izmenom u

Kod:

/etc/ssh/sshd_config

gde se opcija PermitRootLogin postavi na no

Kod:

PermitRootLogin no

Na taj način neprivilegovani korisnici da bi pristupili privilegovanim funkcijama moraju da koriste recimo su - ili sudo da bi dobili administratorske privilegije što je još jedan plus.

[ANGELDEAD]

Vec vise od 1 god koristim custom port, ali znam vec odavno da postoje i port scanner, koji za manje od 5 minuta, mogu naci ssh port. Do sada sam mogao zabraniti korisnicima ssh, ali sada im je to neophodno (neki novi php software), pa mi zato treba pritup user-ima ssh-y, ali ne sa bilo kog kompjutera. Znam da ima shell access, kad se promeni u /sbin/nologin onda ssh ne moze da se koristi, samo ftp (21)

Kada bi napravio taj key za ssh, onda bi morao remote connection na masinu u UK, a njoj nemam taj pristup. Tako da cu morat samo njoj dozvolit ssh, a ja da pristupam preko VNC-a. (remote control)

a u ostalom kako bi neko saznao moj MAC? Ne stitim se od ljudi koji zive sa mnom i koji sedaju ponekad za moj laptop, nego globalno od hakera i sl.

Ova 2. opcija mi se svidja, ali je ne razumem bas (prvi put cujem za nju) Nisam bas dobar php koder.

[Neutrino]

MAC adrese se užasno lako falsifikuju jer se šalju sa svakim zahtevom u plain-text formatu bez ikakve zaštite (direktno su vidljive). Zato će bilo koji WiFi sniffer bez problema da je očita dok zahtev bude putovao od korisnika ka hot-spotu.

Sa druge strane skoro nijedan ruter ne dozvoljava slanje ARP/NDP paketa sa lokalne mreže vani tako da je to razlog zbog kojeg MAC adresu ne možeš da koristiš kao pouzdanu identifikaciju na udaljenom serveru. Udaljeni server uopšte ne dobija MAC adresu klijenta pri zahtevu. MAC adrese su korisne jedino i isključivo u okviru LAN mreža za recimo autentifikaciju pristupa ruteru tj. mreži koja vodi na net itd.

Što se tiče PHP aplikacije može se napraviti veoma jednostavan login sistem koji bi nakon uspešnog logina automatski na serveru otključavao pristup za IP adresu sa koje je klijent uspešno prijvaljen. Kako bi to funkcionisalo:

1. Klijent odlazi na ardresu domen.com/login.

2. Aplikacija na toj adresi proverava da li već postoji sesija (prethodno logovanje) za to korisničko ime i da li se IP adresa zapisana u toj sesiji poklapa sa trenutnom adresom koju browser klijenta šalje.

3. Ukoliko se adrese poklapaju sesija i dalje važi i nema potrebe da se bilo šta izvrši

4. Ukoliko je sesija istekla ili se IP adresa za tog korisnika u međuvremenu promenila traži se login.

5. Nakon logina izvršava se bash skripta koja kao parametar za otključavanje pristupa u iptables ima IP adresu sa koje se klijent logovao.

cronjob bi u ovom slučaju mogao odlično da posluži za automatsko resetovanje pristupa nakon isteka sesije. Recimo ako je podešeno da login sesija traje 2h cronjob može da se podesi da se izvršava na svaka 2 sata i da u iptables chainovima ukloni pristup koji je prethodno dodeljen za IP adresu korisnika.

EDIT: Možeš kao alternativu za iptables da koristiš i tcpd (TCP Wrapper) kojim bi mogao veoma lako da dodaješ i oduzimaš pristup u host.allow i hosts.deny konfiguracionim fajlovima. Plus što bi na ovaj način mogao veoma lako da ukombinuješ usluge dinamičke DNS rezolucije kao što su OpenDNS ili dynDNS jer za razliku od iptables tcpd podržava hostname rezoluciju u njegovim pravilima.

Dobar primer sa NixCrafta (http://www.cyberciti.biz/faq/restric...pd-tcpwrapper/)

[ANGELDEAD]

znaci najbolje resenje mog problema je taj mali software koji ce da kontrolise iptables po ip-y za ssh port. Jos kad bi ga znao iskodirati bilo bi dobro.

Hvala ti na ovome!

[Neutrino]

Citat:

ANGELDEAD kaže:

znaci najbolje resenje mog problema je taj mali software koji ce da kontrolise iptables po ip-y za ssh port. Jos kad bi ga znao iskodirati bilo bi dobro.

Hvala ti na ovome!

Svaki PHP programer sa bar malo praktičnog iskustva i osnovnim poznavanjem Linux operativnog sistema može to da ti napiše. Bitno je samo da povede računa kako iz PHP koda poziva sistemske funkcije (skripte) da ne bi kompromitovao sigurnost sistema.