17.06.2013 12:39, Victor Wagner пишет: > On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote: > >>> mac меняется легко. >> Ну не как способ защиты, а идея была например разрешить коннект к SSH >> только с перечисленных MAC. Идея была примерно такая. > В ssh для этой цели предусмотрены криптографические ключи хостов. > Вот криптографический ключ это вещь, которая достаточно надежно > идентифицирует сторону соединения. > > Оно, конечно, проверяется несколько позже чем в момент коннекта. > Но поскольку огромное количество людей этим пользуется, даже если в > обработке хендшейка в какой-нибудь популярной реа SSH появится дырка, > позволяющая получить доступ к хосту до предоставления ключа, её заткнут > в момент. > > В общем, надо просто отключить парольную и PAM-овскую реализацию в ssh и > не заморачиваться ни с каким port knoking. В общем Вы либо не поняли зачем я это делал, либо не захотели понять. Ну да ладно, не суть столь важно. Вопрос все равно был в другом и на свой вопрос я получил уже исчерпывающий ответ.
Attachment:
signature.asc
Description: OpenPGP digital signature