On Thu, 2010-03-04 at 09:45 +0700, Matthew Hezekiel wrote: > 2010/3/4 Masim "Vavai" Sugianto <va...@vavai.com>: > > 2010/3/4 Hari Hendaryanto <har...@csmcom.com>: > >> > >> port sshd di ganti dengan non standard. > >> pakai kombinasi huruf/angka/upper case/lower case yg rumit untuk user/pass, > >> atau sekalian aja authentication nya pakai certificate. > >> allow ip dari client yg boleh konek ke sshd selain ip dari client reject, > >> pakai tcp wrapper(allow|deny.host), atau pakai fail2ban. > >> > >> sshd nya di chroot, batasi yg bisa user lakukan/execute aja di shell > >> mereka. > >> lebih baik membatasi apa aja yg bisa di lakukan user dari pada harus > >> melototi log yg se abrek abrek :D > > > > Tambahan satu lagi, kalau nggak mau pakai fail2ban, batasi berapa kali > > seorang user boleh gagal password. Bisa diset di firewall, misalnya > > kalau gagal 3x memasukkan password, IP-nya diblacklist. > > > > > > -- > Trims buat masukan teman2,.. > > kondisinya adalah sebagai berikut: > > Ada website customer kami yang bisa di akses dari IP yang di daftarkan > ke mereka, dalam hal ini yang di daftarkan adalah salah satu IP kantor > kami, sementara beberapa user harus bisa mengakses situs tersebut dari > mana saja untuk kepentingan kantor (disini jadi agak sulit membatasi > ip client yang boleh mengakses, mengingat user2 ini sering tugas2 ke > luar kota) makanya di requestlah ssh tunnel, namun saya ingin mereka > hanya bisa menggunakan ssh untuk keperluan tunnel saja. > > Trims buat tanggapan dari teman2, sangat bermanfaat buat saya infonya > > Salam, > Thew >
Kenapa nggak pasang webserver di server bapak ini? Dan pasang cgi-proxy di sana.. menurut saya ini solusi lebih gampang Nyoman
signature.asc
Description: This is a digitally signed message part