Re: SSHd

To: "Fabio Marzocca" <marzocca@mclink.it>
Cc: <debian-italian@lists.debian.org>
Subject: Re: SSHd
From: MaX <max@maximumdebian.org>
Date: Sat, 11 Sep 2004 18:29:41 +0200
Message-id: <[🔎] C8342AF8-040F-11D9-936D-00039344C04A@maximumdebian.org>
In-reply-to: <[🔎] 00dd01c4959b$9aebf140$0ac8a8c0@Marzocca>
References: <[🔎] 00dd01c4959b$9aebf140$0ac8a8c0@Marzocca>

ciao,

io avrei una soluzione differente, che non è detto che possa essereapplicata dappertutto, ma che in molti casi potrebbe essere utile....chiudi nel firewall del server aziendale la porta 22! :-)

mi dirai... si, e poi come faccio ad aministrare dal mio portatile dicasa il server che sta dietro al firewall?


abbastanza semplice:

ti fai un account con dyndns.org o simili e ti installi il daemon sulportatile in modo he appena

tu ti colleghi ad internet attraverso un provider aggiorni il dns.

il server che sta dietro al firewall è programmato attraverso unsemplice script con cron e bash a tentare un collegamento al tuoportatile ogni tot di tempo. Se la connessione fallisce, ritentrá´állaprossima.

Ovviamente attivi sshd nel portatile in modo da poter accettareconnessioni dall'IP della tua impresa.



lo script che uso io e`questo:

-----------------------
#!/bin/bash
STATUS=`ps -U max | grep 88088 | grep -v grep | wc -l | tr -d " "`
sleep 10
if [ $STATUS = 0 ]; then

ssh -R 88088:127.0.0.1:22 max@<miohost>.dyndns.org 'while [ 1 ]; doecho "ciao"; sleep 100 ; done' &

else
        exit
fi
exit
-----------------------

per comodità l'utente del server e quello del portatile hanno lo stessonome ("max" nel mio caso)


dal portatile do un semplice:

$ ssh -p 88088 localhost

e il server mi chiede la password... anche se potrei aumentare lasicurezza mettendo le chiavi dsa.In questo modo ho un firewall che non ofre nessun servizioesternamente... assolutamente nulla!ma io posso passarci attraverso perchè è il server dietro al firewall acreare un tunnel criptato fino al mio portatile.

Non dico che sia un sistema perfetto, ma credo che lo siasufficentemente.



Nota sullo script:

la parte 'while [ 1 ]; do echo "ciao"; sleep 100 ; done' non è altroche un loop infinito che mi serve per tenere attiva la connssione sshsimulando un minimo di traffico di rete.

Lo script viene attivato via crontab alle 18.00 fino alle 23.00 con untentativo di connessione ogni 15 minuti.Per evitare doppie connessioni faccio controllare lo stato dellaconnesion attaverso la variabile STATUS con

STATUS=`ps -U max | grep 88088 | grep -v grep | wc -l | tr -d " "`

spero possa essere utile ...e che possa essere migliorato!

ciao
MaX






Il giorno Sep 8, 2004, alle 2:01 PM, Fabio Marzocca ha scritto:

Ho recentemente dato un'occhiata al mio file auth.log e ho trovatonumerose
linee come la seguente:
Aug 30 00:01:05 Rospo sshd[29526]: reverse mapping checkinggetaddrinfo for
ds201-41.ipowerweb.com failed - POSSIBLE BREAKIN ATTEMPT!
Aug 30 00:01:05 Rospo sshd[29526]: Failed password for root from
66.235.201.41 port 44357 ssh2

!!!!
Come posso configurare sshd per evitare questo? Non c'è un modo perlimitare
i tentativi di guess della password??






--
To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contactlistmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: SSHd
  - From: GHERdO <tanga@freemail.it>

References:
- SSHd
  - From: "Fabio Marzocca" <marzocca@mclink.it>

Prev by Date: Re: Due differenti configurazioni di rete
Next by Date: Re: Alsa
Previous by thread: Re: SSHd
Next by thread: Re: SSHd
Index(es):
- Date
- Thread