Re: iptables mac

To: debian-russian@lists.debian.org
Subject: Re: iptables mac
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Mon, 17 Jun 2013 12:39:51 +0400
Message-id: <[🔎] 20130617083950.GA4379@wagner.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 51BC41FE.3030101@gmail.com>
References: <[🔎] 51BC186F.9080607@gmail.com> <[🔎] 51BC3AD7.5010303@solarnet.ru> <[🔎] 51BC41FE.3030101@gmail.com>

On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote:

> > mac меняется легко.
> Ну не как способ защиты, а идея была например разрешить коннект к SSH
> только с перечисленных MAC. Идея была примерно такая.

В ssh для этой цели предусмотрены криптографические ключи хостов.
Вот криптографический ключ  это вещь, которая достаточно надежно
идентифицирует сторону соединения.

Оно, конечно, проверяется несколько позже чем в момент коннекта.
Но поскольку огромное количество людей этим пользуется, даже если в
обработке хендшейка в какой-нибудь популярной реа SSH появится дырка,
позволяющая получить доступ к хосту до предоставления ключа, её заткнут 
в момент.

В общем, надо просто отключить парольную и PAM-овскую реализацию в ssh и
не заморачиваться ни с каким port knoking.

Reply to:

Follow-Ups:
- Re: iptables mac
  - From: Alex Dubinin <maillist.debian@gmail.com>

References:
- iptables mac
  - From: Alex Dubinin <maillist.debian@gmail.com>
- Re: iptables mac
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: iptables mac
  - From: Alex Dubinin <maillist.debian@gmail.com>

Prev by Date: Re: iptables mac
Next by Date: Re: Dovecot - нечитаемые имена ящиков.
Previous by thread: Re: iptables mac
Next by thread: Re: iptables mac
Index(es):
- Date
- Thread