26

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Mitrandir пишет:

Ломать и даже просто сканировать адреса GPRS-абонентов крайне невыгодно — у них мизерная скорость отдачи.

Насколько я помню - в сетях GPRS абоненты просто не видят друг друга. Передача возможна только от терминала во внешнюю сеть. Можете попробовать войдя одновременно с двух коммуникаторов в операторскую сеть и увидев свои айпи, пингануть - не дойдут пакеты smile

Ну и ещё про один миф инициатора флейма smile О безопасности авторизации по ключам. С некоторых пор это считается одним из самых опасных методов smile Компрометация ключа более вероятна, чем подбор сложного пароля smile Поясню. Мало кто соблюдает все правила работы с персональным ключём. Он не запаролен и не хранится на внешнем криптованном носителе. Мало того, гореадмины любят иметь один ключ на все сервера и не паролируя его, держать в стандартном каталоге на виндовой машине. А дальше, при необходимости, это просто дело техники - со сквозьдырявойвинды из домашнего каталога пользователя из папочки .ssh утянуть всё с расширением *.ppk.... Чтобы взять у винды даже пароля подбирать не надо smile))

Так что верно только одно утверждение "мне удобно". И оно самое законное и правильное. А всё остальное - притянуто за уши, как и фраза "мне лично известны". А я лично утверждаю, что в публичных сетях взломать логин/пароль возможно только в том случае, если они "user/password". Каждая проба пароля на ssh - от 10-ти секунд. БЫстро можно сделать только если одновременно с большого количества компьютеров - с сетевой атаки. Ну и на  фига это делать на пользовательский ПК только если это владелец не держатель пароля к красной кнопке? Так что позвольте не поверить и считать такой аргумент "притянутым за уши". Или дайте методику по кторой аккаунт был взломан за столь короткое время.

c приветом, gLobster
Nokia E7|Lumia 920 + TomTom Go Live 1000 + Lenovo IdeaPad Z370+ Motorola Xoom

27

Re: Не работает openssh-server 1:5.1p1-6.maemo2

t.t пишет:

Конечно сервер не говорит, используется ли неразрешённый способ авторизации — он просто его _не_ использует, да и всё. И «вычисляется» это на раз, в т.ч. и программно.

А фактически это на сервере просто на один If больше - т.е. мизернопринебрежимо!
If(проверять пароль?) {if(call проверить пароль) { пустить; } }
выйти не пустив;

c приветом, gLobster
Nokia E7|Lumia 920 + TomTom Go Live 1000 + Lenovo IdeaPad Z370+ Motorola Xoom

28

Re: Не работает openssh-server 1:5.1p1-6.maemo2

gLobster пишет:

Ну и ещё про один миф инициатора флейма smile О безопасности авторизации по ключам. С некоторых пор это считается одним из самых опасных методов smile Компрометация ключа более вероятна, чем подбор сложного пароля smile Поясню. Мало кто соблюдает все правила работы с персональным ключём. Он не запаролен и не хранится на внешнем криптованном носителе. Мало того, гореадмины любят иметь один ключ на все сервера и не паролируя его, держать в стандартном каталоге на виндовой машине. А дальше, при необходимости, это просто дело техники - со сквозьдырявойвинды из домашнего каталога пользователя из папочки .ssh утянуть всё с расширением *.ppk.... Чтобы взять у винды даже пароля подбирать не надо smile))

Так что верно только одно утверждение "мне удобно". И оно самое законное и правильное. А всё остальное - притянуто за уши, как и фраза "мне лично известны". А я лично утверждаю, что в публичных сетях взломать логин/пароль возможно только в том случае, если они "user/password". Каждая проба пароля на ssh - от 10-ти секунд. БЫстро можно сделать только если одновременно с большого количества компьютеров - с сетевой атаки. Ну и на  фига это делать на пользовательский ПК только если это владелец не держатель пароля к красной кнопке? Так что позвольте не поверить и считать такой аргумент "притянутым за уши". Или дайте методику по кторой аккаунт был взломан за столь короткое время.

Методик взлома я не знаю, эти случаи вообще не анализировал, мне только известно, что они были, не более.

Способы кражи ключа мне известны. А за виндовой машиной я последний раз работал лет шесть назад.

Предлагаю остановиться на том, что удобство здесь ключевой аргумент.

29

Re: Не работает openssh-server 1:5.1p1-6.maemo2

gLobster пишет:
t.t пишет:

Конечно сервер не говорит, используется ли неразрешённый способ авторизации — он просто его _не_ использует, да и всё. И «вычисляется» это на раз, в т.ч. и программно.

А фактически это на сервере просто на один If больше - т.е. мизернопринебрежимо!
If(проверять пароль?) {if(call проверить пароль) { пустить; } }
выйти не пустив;

Не понял, при чём здесь это? Я говорил о том, что когда авторизация по паролю не используется, взломщик не долбится с попытками подбора. Т.е. что это ещё и способ избавиться от этой долбёжки. Про кпк здесь, пожалуй, действительно перебор. Но на ноуте у меня, пока не отключил авторизацию по паролю, сообщения о неудачных попытках входа сыпались в лог от двух до сорока раз в час. Сейчас разве только раз в несколько недель что-то прилетит. Я, правда, и порт на нестандартный сменил тогда же; но по опыту других людей, одна только смена порта такого эффекта обычно не даёт.

30

Re: Не работает openssh-server 1:5.1p1-6.maemo2

t.t пишет:

Не понял, при чём здесь это? Я говорил о том, что когда авторизация по паролю не используется, взломщик не долбится с попытками подбора.

А я пишу о том, что снаружи понять какой метод авторизации доступен - не возможно.

c приветом, gLobster
Nokia E7|Lumia 920 + TomTom Go Live 1000 + Lenovo IdeaPad Z370+ Motorola Xoom

31

Re: Не работает openssh-server 1:5.1p1-6.maemo2

gLobster пишет:
t.t пишет:

Не понял, при чём здесь это? Я говорил о том, что когда авторизация по паролю не используется, взломщик не долбится с попытками подбора.

А я пишу о том, что снаружи понять какой метод авторизации доступен - не возможно.

$ mv .ssh/id_rsa .
$ ssh -p *** localhost
Permission denied (publickey).
$ sudo sed -i '/^PasswordAuth/ s/no$/yes/' /etc/ssh/sshd_config
$ sudo /etc/init.d/ssh restart
Restarting OpenBSD Secure Shell server: sshd.
$ ssh -p *** localhost
user@localhost's password:
Permission denied, please try again.
user@localhost's password:
Permission denied, please try again.
user@localhost's password:
Permission denied (publickey,password).

Что-то непонятно?

32

Re: Не работает openssh-server 1:5.1p1-6.maemo2

А локальным клиентом по ключу заходит?
Может в клиенте дело?

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

33

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Наверно это уже посмотрели, но на всякий случай спрошу - а хостключ клиента не в блэк листе? При обновлении openssh сервера на какую-то версию он резко преставла принимать старые ключи от своих же клиентов предыдущих версий. Там была какя-то проблема с псевдорандомной последовательностью. Но он правда тогда сразу в лог об этом пишет.

c приветом, gLobster
Nokia E7|Lumia 920 + TomTom Go Live 1000 + Lenovo IdeaPad Z370+ Motorola Xoom

34

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Хорошо бы удалить пакет с конфигами и ключи, установить заново, создать ключи и не меняя конфигов проверить.

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

35

Re: Не работает openssh-server 1:5.1p1-6.maemo2

svs57 пишет:

А локальным клиентом по ключу заходит?
Может в клиенте дело?

Не в клиенте. Я тоже писал в первом посте. На таблетку не могу зайти ни с неё, ни с ноута. На ноут нормально захожу и оттуда, и оттуда.

36

Re: Не работает openssh-server 1:5.1p1-6.maemo2

gLobster пишет:

Наверно это уже посмотрели, но на всякий случай спрошу - а хостключ клиента не в блэк листе? При обновлении openssh сервера на какую-то версию он резко преставла принимать старые ключи от своих же клиентов предыдущих версий. Там была какя-то проблема с псевдорандомной последовательностью. Но он правда тогда сразу в лог об этом пишет.

Мысль интересная, спасибо. Сейчас попробую сгенерить новый ключ и проверить.

37

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Удалил /etc/ssh/ и ~/.ssh/, переустановил пакет, сгенерил новые ключи, проблема решилась. Всем спасибо.

38

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Прошу прощения за поднятие старой темы, хочется кое-что добавить.

gLobster пишет:

Насколько я помню - в сетях GPRS абоненты просто не видят друг друга. Передача возможна только от терминала во внешнюю сеть. Можете попробовать войдя одновременно с двух коммуникаторов в операторскую сеть и увидев свои айпи, пингануть - не дойдут пакеты smile

Сейчас я временно вышел с gprs мтс-Украина. Получил белый динамический айпишник и без проблем зашёл на него по ssh с машины, расположенной вообще в другой стране.

Во избежание недопонимания раскрою ещё раз причины своих предосторожностей. Я представляю, что такое подбирать пароль на gprs-соединении. Но ботам обычно без разницы, кого ломать, да и не в курсе они, что у меня gprs — в них таких проверок как правило вообще нет (ssh-сервер на кпк или телефоне явление редкое). А мне долбёж, пусть даже и безуспешный, на gprs тем более не нужен, чем на широком канале.

39

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Всё зависит от оператора. В России у МТС абоненты находятся за NAT'ом например.

N̶8̶0̶0̶ + N̶8̶1̶0̶ + N̶9̶0̶0̶ + N̶9̶5̶0̶ + N̶9̶ ̶C̶y̶a̶n̶ + N̶9̶ ̶B̶l̶a̶c̶k̶

40

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Понятно, что зависит. Я это к тому и написал, что бывает по-разному. А на мой взгляд, в такой ситуации, как говорится, «лучше перебдеть, чем недобдеть». Тем более, что с особыми сложностями это не связано — даже наоборот, как уже говорилось, так ещё и удобнее.

41

Re: Не работает openssh-server 1:5.1p1-6.maemo2

М.б. имеет смысл сделать файервол (iptables)?

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

42

Re: Не работает openssh-server 1:5.1p1-6.maemo2

svs57 пишет:

М.б. имеет смысл сделать файервол (iptables)?

Я как увидел белый айпишник, тоже об этом подумал. Если буду постоянно пользоваться мтс, надо будет заняться.

43

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Закрываюсь, когда приходится выходить через Скайлинк.
Если ssh сервер нужен на компе, то только сложный пароль.

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

44

Re: Не работает openssh-server 1:5.1p1-6.maemo2

svs57 пишет:

Закрываюсь, когда приходится выходить через Скайлинк.
Если ssh сервер нужен на компе, то только сложный пароль.

По большому счёту, если на компе крутится что-то ещё, тогда как раз скорее firewall и нужен. Если при этом заходы по ssh могут быть только с наперёд известных адресов, то пароля более чем достаточно. Для таблетки я насчёт фаервола возможно и погорячился: зачем он там, если кроме ssh порты никто не слушает? Т.е. строго говоря есть два варианта: если опять же адреса возможных заходов известны наперёд, перекрыть остальное iptables; либо, в более общем случае, уйти на нестандартный порт и закрыть авторизацию по паролю. На мой взгляд, второй вариант и более удобный, и куда менее морочливый.

45

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Не соглашусь с Вами.
Во-первых, если известны адреса, с которых всегда заходите, то их и нужно будет задать файерволу. Пароль здесь не при чем.
По поводу того что открыт лишь ssh - так этого более чем достаточно. Все в Юниксе управляется через него.
Нестандартный порт не поможет, т.к. сканеры очень просто определяют что сидит на порту.

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

46

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Нестандартный порт сканируется очень легко, это как-то несерьёзно

А отключение авторизации по паролю не поможет в борьбе с паразитным трафиком, т.к. клиенту извне неизвестно, закрыт у вас пароль или нет, и соответственно ломиться он не перестанет

N̶8̶0̶0̶ + N̶8̶1̶0̶ + N̶9̶0̶0̶ + N̶9̶5̶0̶ + N̶9̶ ̶C̶y̶a̶n̶ + N̶9̶ ̶B̶l̶a̶c̶k̶

47

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Может просто отключать sshd при включенном ГПРС?

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

48

Re: Не работает openssh-server 1:5.1p1-6.maemo2

svs57 пишет:

Не соглашусь с Вами.
Во-первых, если известны адреса, с которых всегда заходите, то их и нужно будет задать файерволу. Пароль здесь не при чем.
По поводу того что открыт лишь ssh - так этого более чем достаточно. Все в Юниксе управляется через него.
Нестандартный порт не поможет, т.к. сканеры очень просто определяют что сидит на порту.

Вы меня неверно поняли. Я и имел ввиду, что, зная адреса, можно задать их фаерволу и открыть доступ по паролю. Если же адреса неизвестны, а кроме ssh ничего нет, то установка фаервола лишена смысла: ssh прикрывать нельзя, а больше прикрывать нечего. А раз прикрывать ssh нельзя, то я бы получше озаботился его собственной безопасностью. И вот здесь уже вход только по ключу в сочетании с соблюдением всех требований надёжности хранения этого ключа — наиболее приемлемый вариант. А нестандартный порт — лишь дополнительная мелочь для отсечения флуда запросов: боты, умеющие сканировать порты, как правило достаточно умны и для того, чтобы отвалиться, если вход по паролю закрыт.

49

Re: Не работает openssh-server 1:5.1p1-6.maemo2

В гпрс вы всегда за натом оператора, прямой айпи стоит денег и простым юзерам вообще не выдается.

n800 5.2008.43-7

50

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Bolt123 пишет:

В гпрс вы всегда за натом оператора, прямой айпи стоит денег и простым юзерам вообще не выдается.

у теле2 (петербург) выдаются прямые шведские IP адреса безо всяких дополнительных услуг