Hóbor István wrote:
A baj csak az, hogy ahonnan elérni kívánom a szervert, dinamikus ip-vel
rendelkezikminden egyes alkalommal meg csak nem fogom módosítani a
tűzfalat...
Szerintem teljesen zárd be az SSH portot a haszált szervereken és
használj knockd-t. Van windowsos kliense is.
A
Szerintem teljesen zárd be az SSH portot a haszált szervereken és
használj knockd-t. Van windowsos kliense is.
bizonyara tobb implementacioja is van, en anno kiprobaltam egyet, ami
gondolom minden csomagot elkapott es elemezett (ha jol remlik libpcap
alapokon), legalabbis mar par megabites
Miloska wrote:
bizonyara tobb implementacioja is van, en anno kiprobaltam egyet, ami
gondolom minden csomagot elkapott es elemezett (ha jol remlik libpcap
alapokon), legalabbis mar par megabites forgalomnal teljesen felzabalt
minden eroforrast. persze lehet csak en nem allitottam be
On Wed, Jan 31, 2007 at 12:14:09PM +0100, [EMAIL PROTECTED] wrote:
On Wed, 31 Jan 2007, Horváth Ágoston János wrote:
On 1/30/07, Lajber Zoltan [EMAIL PROTECTED] wrote:
Es ha nem vagyok indiszkret, ezt hogyan vitelezed ki tavolrol?
Mit, a hamis forras cimmel kuldest? Megfeleloen patkolt
On 1/31/07, [EMAIL PROTECTED]
[EMAIL PROTECTED] wrote:
Meg lehet tippelni, hogy milyen sequence numbert fog küldeni a szerver,
ezért el kell küldeni egy SYN-t, majd a megtippelt sequence number-rel
egy ACK-ot. Nem tudom, hogy ma mennyire használható gyakorlatban a
módszer.
grsec-cel
On Wed, 31 Jan 2007, [ISO-8859-1] Horváth Ágoston János wrote:
ez igy is csak DoS-ra hasznalhato, tenyleges informaciocserere nem.
Pontosan ezt mondtam en is.
Az egesz temat csak azert vetettem fel, mert nagyon gyakori
felreertes/felremagyarazas, hogy csak ugy lehet forras IP-t
hamisitani.
On Wed, 31 Jan 2007, Horváth Ágoston János wrote:
On 1/31/07, [EMAIL PROTECTED]
[EMAIL PROTECTED] wrote:
Meg lehet tippelni, hogy milyen sequence numbert fog küldeni a szerver,
ezért el kell küldeni egy SYN-t, majd a megtippelt sequence number-rel
egy ACK-ot. Nem tudom, hogy ma mennyire
Hali!
Az iptables elvileg alkalmas erre a feladatra, azaz ki tudod szűrni, hogy a
22-es portot csak bizonyos IP tartományokból lássák, vagy bizonyos IP-t
tilthatsz.
Ezenkívül a /etc/ssh/sshd_config fájlban a ListenAddress sort érdemes
átfutni, és megpróbálni, hogy IP tartománnyal működik-e.
On Tue, 30 Jan 2007, Hóbor István wrote:
Sziasztok!
Valaki egy ip-ről folyamatosan scannel és kitalált usernevekkel
próbálkozik belépni a szerveremre...az ssh -val lehet szabályozni, hogy
milyen ip-tartományól lehessen csatlakozni?
igen. Benne van az u.n. tcp wrapper lib, es ezert a
On 1/30/07, Hóbor István [EMAIL PROTECTED] wrote:
Sziasztok!
Valaki egy ip-ről folyamatosan scannel és kitalált usernevekkel
próbálkozik belépni a szerveremre...az ssh -val lehet szabályozni, hogy
milyen ip-tartományól lehessen csatlakozni?
Lehet. Sot, iptables-bol is.
Agoston
On Tue, 30 Jan 2007, [ISO-8859-1] Horváth Ágoston János wrote:
próbálkozik belépni a szerveremre...az ssh -val lehet szabályozni, hogy
milyen ip-tartományól lehessen csatlakozni?
Lehet. Sot, iptables-bol is.
Elobb lemaradt: az ip tables eroforras-takarekosabb. Es persze erdemes
On Tue, 2007-01-30 at 16:40 +0100, Thiering Péter wrote:
Hali!
Az iptables elvileg alkalmas erre a feladatra, azaz ki tudod szűrni, hogy a
22-es portot csak bizonyos IP tartományokból lássák, vagy bizonyos IP-t
tilthatsz.
de lehet azt is, hogy a sok névvel próbálkozóknak elrontod a
2007/1/30, Hóbor István [EMAIL PROTECTED]:
Sziasztok!
Valaki egy ip-ről folyamatosan scannel és kitalált usernevekkel
próbálkozik belépni a szerveremre...az ssh -val lehet szabályozni, hogy
milyen ip-tartományól lehessen csatlakozni?
Nem egyszerűbb ha átrakod másik portra az ssh -t?
nekem ez
iptables -A INPUT -i ethX -d IPCIMED -p tcp --dport 22 -m recent
--rcheck --seconds 60 --hitcount 6 --name SSH -j LOG --log-prefix
SSH_BruteForce
iptables -A INPUT -i ethX -d IPCIMED -p tcp --dport 22 -m recent
--update --seconds 60 --hitcount 6 --name SSH -j DROP
iptables -A INPUT -i
On Tue, 30 Jan 2007, friiz wrote:
--state NEW -m recent --set --name SSH -j ACCEPT
ezzel nem zárod ki magad, ha valaki más folyamatosan próbálkozik?
Nalam van egy kituntetett gep/subnet, aminek mindig mindent szabad. Ez a
gep legyen local halon (vagy olyan neten, ami az en kezembe van), es
--update --seconds 60 --hitcount 6 --name SSH -j DROP
iptables -A INPUT -i ethX -d IPCIMED -p tcp --syn --dport 22 -m state
--state NEW -m recent --set --name SSH -j ACCEPT
ezzel nem zárod ki magad, ha valaki más folyamatosan próbálkozik?
Hát az előfordulhat azt hiszem. Biggyeszteni
On Tue, 2007-01-30 at 16:28 +0100, Hóbor István wrote:
Sziasztok!
Valaki egy ip-ről folyamatosan scannel és kitalált usernevekkel
próbálkozik belépni a szerveremre...az ssh -val lehet szabályozni, hogy
milyen ip-tartományól lehessen csatlakozni?
Találtam 3 érdekes linket erről:
On 1/30/07, Lajber Zoltan [EMAIL PROTECTED] wrote:
Ugyanis az emlitett mindket modszer (iptables, libwrap) atverheto hamis
forras ip megadasaval.
Es ha nem vagyok indiszkret, ezt hogyan vitelezed ki tavolrol?
Agoston
_
linux lista -
A baj csak az, hogy ahonnan elérni kívánom a szervert, dinamikus ip-vel
rendelkezikminden egyes alkalommal meg csak nem fogom módosítani a
tűzfalat
_
linux lista - linux@mlf.linux.rulez.org
A baj csak az, hogy ahonnan elĂŠrni kĂvĂĄnom a szervert, dinamikus ip-vel
rendelkezikminden egyes alkalommal meg csak nem fogom mĂłdosĂtani a
tĹązfalat
knockd
--
(O__--
//\ / Varosi Csokonai
On Tue, 30 Jan 2007, [ISO-8859-1] Horváth Ágoston János wrote:
On 1/30/07, Lajber Zoltan [EMAIL PROTECTED] wrote:
Ugyanis az emlitett mindket modszer (iptables, libwrap) atverheto hamis
forras ip megadasaval.
Es ha nem vagyok indiszkret, ezt hogyan vitelezed ki tavolrol?
Mit, a hamis
21 matches
Mail list logo
