Re: configurar accés remot per ssh
Gràcies pels comentaris. 10/01/12 @ 08:24 (+0100), Alex Muntada escriu: + hubble hub...@telefonica.net: PORT STATE SERVICE 21/tcp filtered ftp 22/tcp filtered ssh 23/tcp filtered telnet 80/tcp filtered http El «filtered» bàsicament vol dir que algú està descartant els paquets de connexió de l'ssh, bé sigui el router perquè no està fent el NAT que toca o bé perquè l'equip destí té configurades les iptables i descarta les connexions d'ssh. Entesos. Sembla que és el router que està mal configurat. Pel que fa a la seguretat, en principi només s'hi ha de connectar un usuari, que és l'únic autoritzat amb AllowUsers. És bona idea això d'utilitzar un port no-estàndard, també em sembla recordar un sistema per detectar intrusions que era enviar un e-mail des del .bash_profile. Ernest -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110122240.GA5097@doriath.local
Re: configurar accés remot per ssh
Pere Nubiola Radigales Telf: +34 656316974 e-mail: p...@nubiola.cat pnubi...@fsfe.org pere.nubi...@gmail.com El 10 de gener de 2012 13:22, Ernest Adrogué nfdi...@gmail.com ha escrit: Gràcies pels comentaris. 10/01/12 @ 08:24 (+0100), Alex Muntada escriu: + hubble hub...@telefonica.net: PORT STATESERVICE 21/tcp filtered ftp 22/tcp filtered ssh 23/tcp filtered telnet 80/tcp filtered http El «filtered» bàsicament vol dir que algú està descartant els paquets de connexió de l'ssh, bé sigui el router perquè no està fent el NAT que toca o bé perquè l'equip destí té configurades les iptables i descarta les connexions d'ssh. Entesos. Sembla que és el router que està mal configurat. Pel que fa a la seguretat, en principi només s'hi ha de connectar un usuari, que és l'únic autoritzat amb AllowUsers. És bona idea això d'utilitzar un port no-estàndard, també em sembla recordar un sistema per detectar intrusions que era enviar un e-mail des del .bash_profile. Ernest En un router de telefònica hem vaig trobar que el firewall bloquejava els prots 21,22,23 admetent sols algunes adreces Ip determinades. Lo que feia que el port forwarding no funciones correctament. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110122240.GA5097@doriath.local
Re: configurar accés remot per ssh
On Tuesday 10 January 2012 13:22:40 Ernest Adrogué wrote: És bona idea això d'utilitzar un port no-estàndard, també em sembla recordar un sistema per detectar intrusions que era enviar un e-mail des del .bash_profile. Jo he arribat a la conclusió de que no paga la pena canviar de port: no és garantia de que no el trobin, cal documentar-ho, cal configurar les aplicacions que fan servir SSH per conectar, i cal que els firewalls que tinguis per mig et permetin conectar a aquest port no estàndard (quan ets de visita a una wifi sovint tens restringits els ports de destí). Els escaneigs de força bruta els pots evitar amb una eina com 'fail2ban' o 'denyhosts' que deia en Jordi(V). Permet N intents de connexió i a partir d'aquí rebutja les conexions des de la IP sospitosa (durant una estona). Aquest invent d'enviar un mail amb cada login... és una mica d'estar per casa, per dir-ho finament. :-) Sobretot quan aquesta informació ja es guarda als logs, independentment de amb quina shell entris. Si et sembla que et cal vigilar els logs, et recomano que facis una ullada a 'logcheck'. -- Jordi Funollet Pujol http://www.linkedin.com/in/jordifunollet -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/3687289.CZkNWOLR5X@suri
Re: configurar accés remot per ssh
10/01/12 @ 13:44 (+0100), Pere Nubiola Radigales escriu: En un router de telefònica hem vaig trobar que el firewall bloquejava els prots 21,22,23 admetent sols algunes adreces Ip determinades. Lo que feia que el port forwarding no funciones correctament. El que tinc jo és un D-Link DSL-2740B que va amb Linux però la veritat és que va fatal, plè de bugs per tot arreu. No us el recomano. Ernest -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110192901.GA1776@doriath.local
Re: configurar accés remot per ssh
10/01/12 @ 16:57 (+0100), Jordi Funollet escriu: Jo he arribat a la conclusió de que no paga la pena canviar de port: no és garantia de que no el trobin, cal documentar-ho, cal configurar les aplicacions que fan servir SSH per conectar, i cal que els firewalls que tinguis per mig et permetin conectar a aquest port no estàndard (quan ets de visita a una wifi sovint tens restringits els ports de destí). Per ara l'única persona que es connectarà sóc jo amb el client ssh per tant tampoc crec que sigui massa problemàtic. Els escaneigs de força bruta els pots evitar amb una eina com 'fail2ban' o 'denyhosts' que deia en Jordi(V). Permet N intents de connexió i a partir d'aquí rebutja les conexions des de la IP sospitosa (durant una estona). Ben bé força bruta no n'he trobat cap, només intents de login com a root (que no està permès) però sembla que desisteixen bastant ràpid. Si veig que va a més potser sí que hauré de prendre mesures. Aquest invent d'enviar un mail amb cada login... és una mica d'estar per casa, per dir-ho finament. :-) Sobretot quan aquesta informació ja es guarda als logs, independentment de amb quina shell entris. Si et sembla que et cal vigilar els logs, et recomano que facis una ullada a 'logcheck'. Sí, és un invent bastant cutre però funciona :) En els logs es guarda la informació, però clar els logs estan en el mateix ordinador. Si l'intrús aconsegueix escalar privilegis (o com es digui :) pot borrar els logs. A part que tampoc els miro. En canvi si s'envia automàticament un mail a un compte de gmail per ex. això no té manera d'evitar-ho, en principi, i es veu de seguida. Diguem que és com una alarma. Si tens molts usuaris suposo que no és pràctic, però com que només sóc jo sol i em connecto per ssh potser 2 cops a la setmana com a molt, es pot fer. -- Jordi Funollet Pujol http://www.linkedin.com/in/jordifunollet -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/3687289.CZkNWOLR5X@suri -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110194746.GB1776@doriath.local
RE: configurar accés remot per ssh
Hola ! Jo crec que pot ser una limitació que tinguis en el router de qui pot accedir via ssh Pot ser ? Carles Date: Mon, 9 Jan 2012 22:46:09 +0100 From: nfdi...@gmail.com To: debian-user-catalan@lists.debian.org Subject: configurar accés remot per ssh Hola, Estic intentant configurar el dimoni ssh en un ordinador que està darrera un router amb NAT. El router té una IP dinàmica, a la qual apunta el nom de domini doriath.dlinkddns.com. Em puc connectar al servidor ssh des del mateix ordinador fent ssh 192.168.1.33 que és la IP privada de l'ordinador. Tanmateix no hi ha manera de connectar-m'hi fent 'ssh doriath.dlinkddns.com' ni des de dins de la xarxa ni des de fora (timed out). Això fa pensar que el port forwarding del router està mal configurat, oi? Però a /var/log/auth.log veig intents de login des de diferents parts del món, per tant vol dir que hi ha gent que sí que es pot connectar. Alguna idea de què pot estar fallant? Ernest -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120109214609.GA3379@doriath.local
RE: configurar accés remot per ssh
Perdó !! Volia dir des de quines IP es pot accedir Carles Date: Mon, 9 Jan 2012 22:46:09 +0100 From: nfdi...@gmail.com To: debian-user-catalan@lists.debian.org Subject: configurar accés remot per ssh Hola, Estic intentant configurar el dimoni ssh en un ordinador que està darrera un router amb NAT. El router té una IP dinàmica, a la qual apunta el nom de domini doriath.dlinkddns.com. Em puc connectar al servidor ssh des del mateix ordinador fent ssh 192.168.1.33 que és la IP privada de l'ordinador. Tanmateix no hi ha manera de connectar-m'hi fent 'ssh doriath.dlinkddns.com' ni des de dins de la xarxa ni des de fora (timed out). Això fa pensar que el port forwarding del router està mal configurat, oi? Però a /var/log/auth.log veig intents de login des de diferents parts del món, per tant vol dir que hi ha gent que sí que es pot connectar. Alguna idea de què pot estar fallant? Ernest -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120109214609.GA3379@doriath.local
Re: configurar accés remot per ssh
El Mon, 9 Jan 2012 22:46:09 +0100 Ernest Adrogué nfdi...@gmail.com va dir: Hola, Estic intentant configurar el dimoni ssh en un ordinador que està darrera un router amb NAT. El router té una IP dinàmica, a la qual apunta el nom de domini doriath.dlinkddns.com. Em puc connectar al servidor ssh des del mateix ordinador fent ssh 192.168.1.33 que és la IP privada de l'ordinador. Tanmateix no hi ha manera de connectar-m'hi fent 'ssh doriath.dlinkddns.com' ni des de dins de la xarxa ni des de fora (timed out). Això fa pensar que el port forwarding del router està mal configurat, oi? Però a /var/log/auth.log veig intents de login des de diferents parts del món, per tant vol dir que hi ha gent que sí que es pot connectar. Alguna idea de què pot estar fallant? Ernest hubble@niebla:~$ nmap doriath.dlinkddns.com Starting Nmap 5.21 ( http://nmap.org ) at 2012-01-10 00:07 CET mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers Nmap scan report for doriath.dlinkddns.com (83.57.229.113) Host is up (0.076s latency). Not shown: 996 closed ports PORT STATESERVICE 21/tcp filtered ftp 22/tcp filtered ssh 23/tcp filtered telnet 80/tcp filtered http Nmap done: 1 IP address (1 host up) scanned in 57.98 seconds -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120109214609.GA3379@doriath.local -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/2012011951.3c1279dcf7ffdc11be3be...@telefonica.net
Re: configurar accés remot per ssh
El dl 09 de 01 de 2012 a les 22:46 +0100, en/na Ernest Adrogué va escriure: doriath.dlinkddns.com No en soc gaire expert, però fent un nmap: nmap doriath.dlinkddns.com Starting Nmap 5.00 ( http://nmap.org ) at 2012-01-09 23:34 CET Interesting ports on 113.Red-83-57-229.dynamicIP.rima-tde.net (83.57.229.113): Not shown: 996 closed ports PORT STATESERVICE 21/tcp filtered ftp 22/tcp filtered ssh 23/tcp filtered telnet 80/tcp filtered http Nmap done: 1 IP address (1 host up) scanned in 13.11 seconds Jo miraria molt bé els fitxers de configuració, ja que amb aquests serveis en marxa, millor no badar. No sé quin us li dones a l'ordinador, però si només tu has de fer un ssh, t'aconsello que miris les opcions següents de /etc/ssh/sshd_config : PermitRootLogin no AllowUsers papitupalotes (on papitupalotes és un usuari creat només per aquest us i sense privilegis, després ja faràs un su, jo tinc un usuari que es diu alguna cosa com fk534fetry7) PermitEmptyPasswords no MaxStartups 3 i per evitar els atacs de diccionari que et fan, segurament centenars o millers de vegades cada dia, el millor es canviar el port on escolta el ssh Port 77677 (per exemple) A més jo estic enamorat del programa denyhosts, que bloqueja les ips que toquen els pebrots a l'ordinador. el ftp i el telnet, el trauria i també el http si no vols servidor web. No se si et servirà això, però per l'internet hi ha una colla de manuals per fer més segur el servidor ssh i els altres. Salutacions -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1326150222.5111.26.camel@Imhotep.Ophiuchus
Re: configurar accés remot per ssh
+ hubble hub...@telefonica.net: PORT STATE SERVICE 21/tcp filtered ftp 22/tcp filtered ssh 23/tcp filtered telnet 80/tcp filtered http El «filtered» bàsicament vol dir que algú està descartant els paquets de connexió de l'ssh, bé sigui el router perquè no està fent el NAT que toca o bé perquè l'equip destí té configurades les iptables i descarta les connexions d'ssh. -- Alex Muntada al...@alexm.org http://alexm.org/ -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cahx6jzefrc5cgrilhn6kkznr4czh+rw8dpogqulvz2yakze...@mail.gmail.com