Re: filtraggio da fonti dinamiche
2009/7/15 dea <dea@corep.it>:
>
> Un buongiorno a tutta la lista !
>
> La mia necessità è quella di accedere via SSH ad una decina di server Debian,
> da diversi client posti in diverse reti.
> Utilizzo autenticazione via OTP o meno (via PAM, OTP è sufficient) a seconda
> se reputo il client sicuro o incerto (intendo su un'eventuale presenza di
> malware sullo stesso).
> Di fatto non mi piace lasciare aperte porte (anche se si tratta di SSH) al
> mondo, accedo solo io a quei server... che senso ha ?
>
> La mia idea (e qui la domanda per capire se è un'idea stupida/inutile oppure
> può essere valida).
>
> - Metto uno script in CRON (a temporizzazione stretta) sui server che verifica
> l'IP di una specifica entry DNS (che ne so... pippo.no-ip.org), se è stata
> modificata modifica le regole di IPtables per permettere la connessione da
> quella entry.
> - Sui client, qualsiasi essi siano, mi loggo su no-ip.org e ribalto la
> risoluzione della mie entry che riservo per questa operazione sull'IP che ho
> in quell'istante (potrei non avere il software specifico di no-ip installato).
> - Attendo qualche minuto.. e la regola di IPtables si adatta e mi loggo (con
> OTP o meno).
>
> Idea stupida, se si, dove sbaglio, consigli ?
Può essere una buona idea, però hai mai provato un sistema di port knocking?
http://www.portknocking.org/
--
Dario Pilori
-Linux registered user #406515
Reply to: