а нафига всякие снорты ставить?
еще завалит тачку
еще завалит тачку
» Защита серверов на базе FreeBSD
Извините, если флейм.
Фу, прям от сердца отлегло.
Настраиваю сервер с FreeBSD через SSH.
Сервер у прова на другом конце города.
Завтра надо иметь его работающий.
Время - 23.34
Сейчас отредактировал SSH доступ на доступ без пароля, как в статье.
Начал разбираться с генерированием ключа....
...и соединение разорвалось!
И, главное, сижу, на реконнект жму - ничего!
Всю жизнь свою вспомнил...
Потом оказалось у меня 2 SecureCRT запущено и в первый - залогиненный уже.
Для вас может и пустяк, а для начинающего - катастрофа.
-----------------------------------------
Кстати, статья переведена не совсем дословно, поэтому некоторые вещи непонятны. Например я сначала никак не мог понять что это за юзер "АКА <noprivuser>", пока оригинал не почитал, сами посудите:
Оригинал: "sshusers:*:1001:nonprivileged users"
Перевод: "sshusers:*:1001:список пользователей находящихся в этой группе"
Для меня, например, это немного разные вещи.
Пишу просто потому, чтобы другие новички не спотыкались на том же.
Фу, прям от сердца отлегло.
Настраиваю сервер с FreeBSD через SSH.
Сервер у прова на другом конце города.
Завтра надо иметь его работающий.
Время - 23.34
Сейчас отредактировал SSH доступ на доступ без пароля, как в статье.
Начал разбираться с генерированием ключа....
...и соединение разорвалось!
И, главное, сижу, на реконнект жму - ничего!
Всю жизнь свою вспомнил...
Потом оказалось у меня 2 SecureCRT запущено и в первый - залогиненный уже.
Для вас может и пустяк, а для начинающего - катастрофа.
-----------------------------------------
Кстати, статья переведена не совсем дословно, поэтому некоторые вещи непонятны. Например я сначала никак не мог понять что это за юзер "АКА <noprivuser>", пока оригинал не почитал, сами посудите:
Оригинал: "sshusers:*:1001:nonprivileged users"
Перевод: "sshusers:*:1001:список пользователей находящихся в этой группе"
Для меня, например, это немного разные вещи.
Пишу просто потому, чтобы другие новички не спотыкались на том же.
Все свои серваки настроил как в статье описано, вчера наткнулся на грабли при обновлениии системы ( FreeBSD 5.3), последний четвертый этап ( make installworld ) постоянно вылетал с ошибкой
Цитата:
Пол дня искал причину. Причиной оказалась строчка в fstab
Цитата:
а точнее "noexec".
перед обновлением "noexec" полезно убирать. Это для тех новичков как я кто налетит на эти же грабли, что бы пол дня не тратили...
Цитата:
make: Permission denied
*** Error code 126
Stop in /usr/src.
*** Error code 1
Stop in /usr/src.
Пол дня искал причину. Причиной оказалась строчка в fstab
Цитата:
/dev/ad0s1f /tmp ufs rw,noexec 2 2
а точнее "noexec".
перед обновлением "noexec" полезно убирать. Это для тех новичков как я кто налетит на эти же грабли, что бы пол дня не тратили...
/sysutils/portupgrade
/net/cvsup-without-gui
А чем эти пакеты отличаются друг от друга?
Если есть у кого статьи по данной тематике, более позднего написания , выложите плз
Добавлено:
kern.ps_showallprocs=0
# только пользователь root может видеть все запущенные процессы
эта опция в 6.0 не работает , а также почти все опции из конфига ядра
Добавлено:
kern.ps_showallprocs=0
# только пользователь root может видеть все запущенные процессы
эта опция в 6.0 не работает , а также почти все опции из конфига ядра
/net/cvsup-without-gui
А чем эти пакеты отличаются друг от друга?
Если есть у кого статьи по данной тематике, более позднего написания , выложите плз
Добавлено:
kern.ps_showallprocs=0
# только пользователь root может видеть все запущенные процессы
эта опция в 6.0 не работает , а также почти все опции из конфига ядра
Добавлено:
kern.ps_showallprocs=0
# только пользователь root может видеть все запущенные процессы
эта опция в 6.0 не работает , а также почти все опции из конфига ядра
Всем привет!
Отличная статья!
Внесу и свою лепту.
Настраивал согласно этой статье доступ по SSH с помощью ключей (FreeBSD 6.2), дык, если делать согласно статье, то доступ по ключам есть, но и доступ по паролю то же проходит!
Может это глюк sshd, потому что в настройках (sshd_config) параметр PasswordAuthentication no указал.
Для того что бы закрыть доступ по паролю надо :
"Непрямой способ защиты служебных учётных записей и конечно root это использование альтернативных методов доступа и замена зашифрованных паролей на символ ''*''. Используя команду vipw(8), замените каждый зашифрованный пароль служебных учётных записей на этот символ для запрета входа с аутентификацией по паролю. Эта команда обновит файл /etc/master.passwd и базу данных пользователей/паролей."
Цитата из хэнбука пункт 14.3.1.
Пользовательские пароли я заменил на звездочку, теперь аутентификация по паролю не проходит - только по ключу.
root'a оставил с паролем - думаю что если и руту звезду выдать, то я вообще в систему не попаду под рутом. Я прав?
Отличная статья!
Внесу и свою лепту.
Настраивал согласно этой статье доступ по SSH с помощью ключей (FreeBSD 6.2), дык, если делать согласно статье, то доступ по ключам есть, но и доступ по паролю то же проходит!
Может это глюк sshd, потому что в настройках (sshd_config) параметр PasswordAuthentication no указал.
Для того что бы закрыть доступ по паролю надо :
"Непрямой способ защиты служебных учётных записей и конечно root это использование альтернативных методов доступа и замена зашифрованных паролей на символ ''*''. Используя команду vipw(8), замените каждый зашифрованный пароль служебных учётных записей на этот символ для запрета входа с аутентификацией по паролю. Эта команда обновит файл /etc/master.passwd и базу данных пользователей/паролей."
Цитата из хэнбука пункт 14.3.1.
Пользовательские пароли я заменил на звездочку, теперь аутентификация по паролю не проходит - только по ключу.
root'a оставил с паролем - думаю что если и руту звезду выдать, то я вообще в систему не попаду под рутом. Я прав?
Предыдущая тема: Ищу firewall для Win2K AS от Nortona
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.