Page 4 of 21 FirstFirst ... 2345614 ... LastLast
Results 46 to 60 of 310

Thread: Безопасность SSH (dropbear)

  1. 13-05-2007, 18:13 #46
    Semkaa
    Semkaa is offline Junior Member
    Join Date
    May 2006
    Posts
    24

    Unhappy

    Неужели никто не подскажет, как хотя бы повесить dropbear на нестандартный порт?
    В принципе есть вариант просто открыть порт в post-firewall и сделать dropbear -p [порт], но насколько я понял, 22 всё равно будет открыт...

    Если честно реально измучился, столько вариантов перепробовал, но всё впустую.

    Так же никак не могу разобраться почему из пиринга недоступен ssh.
    Есть подозрение, что для этого надо открывать порт именно для отдельного интерфейса, то есть правильно ли я понимаю, что чтобы был доступ из интернета это ppp0, а из пиринга и моей локалки vlan?
    Reply With Quote Reply With Quote
  2. 13-05-2007, 18:33 #47
    KRandall
    KRandall is offline Senior Member
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    156

    Lightbulb Dropbear

    Quote Originally Posted by Semkaa View Post
    Неужели никто не подскажет, как хотя бы повесить dropbear на нестандартный порт?
    В принципе есть вариант просто открыть порт в post-firewall и сделать dropbear -p [порт]
    У меня он висит на 443 порту:
    /opt/etc/init.d/S22dropbear (должен быть исполняемым)
    Code:
    #!/bin/sh
killall dropbear
dropbear -p 443 -d /usr/local/etc/dropbear/dropbear_dss_host_key -r /usr/local/etc/dropbear/dropbear_rsa_host_key
    /usr/local/sbin/post-firewall
    Code:
    ...
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j DROP
...
    Ну и в /usr/local/sbin/post-boot должен быть запуск из init.d
    Code:
    ...
#Run all active services - active means starts with S 
/opt/etc/init.d/rc.unslung
...
    WL-500gP(v1, 64mb) (1.9.2.7-d-r2624 by Oleg) + 3 x USB HDD
    Работают: analog, syslog-ng, cron, samba 3, RTorrent+RuTorrent, lighttpd, vsftpd+, настроена сеть и сетевая печать
    Reply With Quote Reply With Quote
  3. 13-05-2007, 19:23 #48
    imdex
    imdex is offline Senior Member
    Send a message via ICQ to imdex
    Join Date
    May 2006
    Location
    Москва
    Posts
    355
    Quote Originally Posted by Semkaa View Post
    Неужели никто не подскажет, как хотя бы повесить dropbear на нестандартный порт?
    В принципе есть вариант просто открыть порт в post-firewall и сделать dropbear -p [порт], но насколько я понял, 22 всё равно будет открыт...
    Не будет.
    Code:
    post-boot]
dropbear -p 22000
    Code:
    post-firewall
iptables -I INPUT -p tcp -d внешний_ip --dport 22000 -j ACCEPT
    У меня тоже есть роутер!
    Reply With Quote Reply With Quote
  4. 13-05-2007, 22:26 #49
    Semkaa
    Semkaa is offline Junior Member
    Join Date
    May 2006
    Posts
    24

    Thumbs up

    Сделал! Работает!
    Огромное спасибо за помощь!

    В данной теме
    http://wl500g.info/showthread.php?t=...t=dropbear+WAN
    описаны варианты защиты доступа по ssh.
    Очень бы бы хотелось ограничить количество попыток логина, но не один из предложенных вариантов в данной теме у меня не работает из WAN подключайся сколько влезет.
    Подскажите пожалуйста как правильно ограничить кол-во попыток.
    Спасибо!
    Reply With Quote Reply With Quote
  5. 14-05-2007, 22:31 #50
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    2 Semkaa

    Под итожу то, что было написано в той ветке про ограничение кол-ва соединений за период времени.

    В pre-boot надо добавить
    Code:
    insmod ipt_recent
    В post-firewall надо добавить
    Code:
    iptables -t nat -I PREROUTING -i ! br0 -p tcp -m state --state NEW --dport 22 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! br0 -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    Там подставь свой номер порта (-dport 22). Ну и после соответственно не забудь сделать flashfs save && flashfs commit && flashfs enable && reboot

    После этих махинаций система будет банить те IP (кроме LAN), с которых было больше 2-ух попыток коннекта (--hitcount 3) к указанному порту за последние 10 минут.
    Last edited by Mam(O)n; 14-05-2007 at 22:36.
    Reply With Quote Reply With Quote
  6. 24-11-2007, 22:54 #51
    bigest
    bigest is offline Member
    Join Date
    Nov 2007
    Posts
    92
    А где хранится список забаненных IP?
    Reply With Quote Reply With Quote
  7. 25-11-2007, 01:53 #52
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Проекцию рабочей таблицы можно найти в /proc/net/ipt_recent/SSH_ATTACKER. Также рекомендую обратится к этой ветке, со страницы эдак с третьей.
    Reply With Quote Reply With Quote
  8. 09-12-2007, 16:15 #53
    Vitaly_k
    Vitaly_k is offline Senior Member
    Join Date
    May 2005
    Posts
    360
    Нашлось альтернативное решение - плагин для FAR WinSCP.
    Качать тут - http://plugring.farmanager.com/downl...ar151setup.exe
    На роутере должен быть запущен SSH (dropbear), тип соединения с роутером ставим SCP.

    Очень удобно - видим всю файловую систему в виде дерева, можно править файлы прямо в роутере.
    Reply With Quote Reply With Quote
  9. 09-12-2007, 17:00 #54
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by Vitaly_k View Post
    Нашлось альтернативное решение - плагин для FAR WinSCP.
    Вай, спасибо! Наконец-то я смогу редактировать и копировать файлы в своем любимом FAR-е, не заморачиваясь с самбой и дебильным иксплорером и не шибко удобным ftp.
    Полагаю эту штуку обязательно в FAQ нужно поместить, поскольку для начальной настройки достаточно будет всего лишь запустить SSH и не мучиться в дальнейшем с редактированием конфигов.
    Reply With Quote Reply With Quote
  10. 10-12-2007, 05:58 #55
    KRandall
    KRandall is offline Senior Member
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    156

    Thumbs up FAR Plugin

    Сообщение от Vitaly_k
    Нашлось альтернативное решение - плагин для FAR WinSCP.
    Да, действительно очень удобно Приверженцы FAR-а оценят. Отлично работает как дома, так и снаружи
    WL-500gP(v1, 64mb) (1.9.2.7-d-r2624 by Oleg) + 3 x USB HDD
    Работают: analog, syslog-ng, cron, samba 3, RTorrent+RuTorrent, lighttpd, vsftpd+, настроена сеть и сетевая печать
    Reply With Quote Reply With Quote
  11. 10-12-2007, 12:43 #56
    2vv
    2vv is offline Junior Member
    Join Date
    Dec 2007
    Location
    Kharkov
    Posts
    25
    Подскажите ,как запустить этот SSH (dropbear) , и как его настроить. И как правильно пользоваться telnet под win , что бы зайти на роутер?
    Пример: telnet 192.168.1.1 , пишет сбой подключения , коннектится ан 23-й порт.
    Спасибо.
    Reply With Quote Reply With Quote
  12. 10-12-2007, 13:34 #57
    Oleg
    Oleg is offline Administrator
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,356
    Quote Originally Posted by 2vv View Post
    Подскажите ,как запустить этот SSH (dropbear) , и как его настроить. И как правильно пользоваться telnet под win , что бы зайти на роутер?
    Пример: telnet 192.168.1.1 , пишет сбой подключения , коннектится ан 23-й порт.
    Спасибо.
    Читайте "настройку с нуля". Там всё это есть.
    Reply With Quote Reply With Quote
  13. 10-12-2007, 13:34 #58
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by 2vv View Post
    Подскажите ,как запустить этот SSH (dropbear) , и как его настроить. И как правильно пользоваться telnet под win , что бы зайти на роутер?
    Пример: telnet 192.168.1.1 , пишет сбой подключения , коннектится ан 23-й порт.
    Спасибо.
    Смотри тут, п.4
    Чтобы иметь возможность подключаться по телнету, необходимо установить прошивку от Олега и в web-интерфейсе в настройках отметить соответствующую опцию (хотя по-моему она там включена по умолчанию).
    Reply With Quote Reply With Quote
  14. 14-12-2007, 22:59 #59
    Vitaly_k
    Vitaly_k is offline Senior Member
    Join Date
    May 2005
    Posts
    360
    Хочется разобраться со следующими вопросами:
    1. Как добиться, чтобы при соединении не выскакивали предупреждения про группы и невозможность выбора директории?
    2. Как сделать доступ снаружи? Я пробовал сделать Virtual server 8022->22, на порт 8022 снаружи не пускает.
    Reply With Quote Reply With Quote
  15. 06-01-2008, 19:20 #60
    Hreks
    Hreks is offline Member
    Join Date
    Mar 2007
    Posts
    47
    Поддерживаю вопрос.
    На роутере SSH запущен, IP реальный, но при попытке коннекта через FAR из внешнего мира...сервер не найден. Как решить проблему?
    Reply With Quote Reply With Quote
Page 4 of 21 FirstFirst ... 2345614 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Внимание! Безопасность Linux-based MIPSel роутеров!
    By ABATAPA in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 129
    Last Post: 06-08-2019, 22:48

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules