2009/7/15 dea <[email protected]>: > > Un buongiorno a tutta la lista ! > > La mia necessità è quella di accedere via SSH ad una decina di server Debian, > da diversi client posti in diverse reti. > Utilizzo autenticazione via OTP o meno (via PAM, OTP è sufficient) a seconda > se reputo il client sicuro o incerto (intendo su un'eventuale presenza di > malware sullo stesso). > Di fatto non mi piace lasciare aperte porte (anche se si tratta di SSH) al > mondo, accedo solo io a quei server... che senso ha ? > > La mia idea (e qui la domanda per capire se è un'idea stupida/inutile oppure > può essere valida). > > - Metto uno script in CRON (a temporizzazione stretta) sui server che verifica > l'IP di una specifica entry DNS (che ne so... pippo.no-ip.org), se è stata > modificata modifica le regole di IPtables per permettere la connessione da > quella entry. > - Sui client, qualsiasi essi siano, mi loggo su no-ip.org e ribalto la > risoluzione della mie entry che riservo per questa operazione sull'IP che ho > in quell'istante (potrei non avere il software specifico di no-ip installato). > - Attendo qualche minuto.. e la regola di IPtables si adatta e mi loggo (con > OTP o meno). > > Idea stupida, se si, dove sbaglio, consigli ?
Può essere una buona idea, però hai mai provato un sistema di port knocking? http://www.portknocking.org/ -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a [email protected] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [email protected] To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
