Posts Tagged ‘ssh’

Защита от брутфорса с помощью iptables

Написал admin . Опубликовано в How-to, Unix просмотров 753

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

Добавляем в iptables:

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 5 --rttl --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Количество попыток авторизации в конфиге ssh /etc/ssh/sshd_config:

MaxAuthTries 3

Сохранение конфигурации с оборудования Cisco

Написал admin . Опубликовано в Cisco просмотров 7 510

Так себеПойдетХорошоПонравилосьОтличный пост (3 votes, average: 5,00 out of 5)
Загрузка...

По роду работы, у многих администратор и инженеров часто встает проблема регулярного сохранения конфигурационных файлов с большого количества оборудования Cisco. Эта статья освещает вариант автоматизации этого процесса с использованием технологии SNMP.

Регулярное сохранение конфигураций оборудования можно делать как минимум 2мя способами.

1. Коннектиться телнетом или по ssh, неважно, и потом делать copy run tftp. Это можно оформить в виде скрипта. У этого способа 2 недостатка, во первых, передача в открытом виде пароля по сети, и, во вторых, это долгий процесс по времени если сравнивать со вторым способом.

2. Сохранять посредством SNMP.

Debian: Аутентификация и авторизация пользователей с помощью LDAP

Написал admin . Опубликовано в Unix просмотров 4 854

Так себеПойдетХорошоПонравилосьОтличный пост (1 votes, average: 5,00 out of 5)
Загрузка...

Начнем с того, что хранение всей информации для аутентификации пользователя, в одном месте — это и хорошо и плохо. Хорошо, потому что удобно администрировать аккаунты пользователей, быстро разворачивать системы и сервисы в сети и тд. Плохо, потому что опасно как со стороны безопасности, так и со стороны отказоустойчивости. Но от этих минусов есть рецепты, поэтому единое хранилище больше хорошо, чем плохо…

Теперь о том, чего нам необходимо добиться.

1. Получить резолвинг имен пользователей и групп из каталога LDAP
2. Разрешить аутентификацию пользователей с помощью LDAP
3. Разграничить права доступа на тот или иной сервер (не всем нужно иметь доступ на все сервера допустим по ssh)
4. Разрешить использовать sudo информацию из LDAP
5. Хранить и спользовать публичные ssh ключи пользователей для аутентификации в ssh

И так по порядку:

1. NSS-LDAP (Name Services Switch) необходим для подтягивания из LDAP в систему таких данных как имена пользователей, группы и другой информации, которая обычно хранится в файлах каталога /etc

aliases, ethers, group, hosts, netgroup, networks, passwd, protocols, rpc, services , shadow

Раскидать ssh ключи по машинкам

Написал admin . Опубликовано в Unix просмотров 205

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

Сначала раскидываем по машинкам в свой хомдир
for i in `seq 1 13`; do echo "copy to host$i"; scp file [email protected]$domain.com:~/; done;

Теперь через sudo уже в конкретное место. Можно было конечно и за раз все сделать…
for i in `seq 1 13`; do echo "copy on host$i"; ssh [email protected]$domain.com sudo cp file /path/name/; done;

SSH на Catalyst 6500

Написал admin . Опубликовано в Unix просмотров 391

Так себеПойдетХорошоПонравилосьОтличный пост (No Ratings Yet)
Загрузка...

gill(config)#hostname gill
gill(config)#ip domain-name taosecurity.com
gill(config)#crypto key generate rsa
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys …[OK]
gill(config)#ip ssh time-out 60
gill(config)#ip ssh authentication-retries 3
gill(config)#ip ssh version 2
gill(config-line)#login local
gill(config-line)#transport input ssh
gill(config-line)#exit
gill(config)#username me privilege 15 password mypassword
gill(config)#end