На заказ — SSH за проксей

Этот пост является переводом статьи «SSH Over Proxy» Даниэля Стенберга (Daniel Stenberg), выполненный по просьбе пользователя |xed|
Переведена редакция статьи, датированная 24-м ноября 2009-го года, 23:53 (Центральная Европа, Стокгольм, Швеция).

Security — Denyhosts - блокировка перебора паролей ssh

Denyhosts - весьма полезная утилита для пресечения попыток подобрать пароль к ssh.

Устанавливается без каких-либо проблем:

1	emerge denyhosts

в Gentoo, для других дистрибутивов пакеты также существуют и как правило находятся в основном репозитории.

Denyhosts работает следующим образом: он проверяет логи и добавляет в /etc/hosts.deny ip адреса, с которых наблюдается много попыток неудачного входа. Для того чтобы это работало, ssh должен быть собран с tcpwrappers (что всегда разумно и делается по умолчанию).

How-to`s — Проброс SSH-портов. Практическое применение.

Сижу в командировке в гостинице со свободным Wi-Fi. Звонят с работы - проблема с одним из компов в корпоративной сети. Пытаюсь поднять ВПН на свой сервер, что бы достучаться до проблемной машинки - БОЛТ! Закрыты порты на вафле!

Решение проблемы под катом.

How-to`s — Создание ssh-туннелей

Наверное многие попадали в ситуацию, когда доступ к необходимым ресурсам в интернете был ограничен. Например вы сидите на работе и у вас ограниченный доступ к интернету, запрещено все что не разрешено.

Вы не можете поговить с друзьями по IRC, ограниченный доступ к сайтам, пароли летают в plain-text, или вы хотите поиграть в игрушки ;).



Сегодня я расскажу вам как быстро и просто соорудить туннель пробрасывающий необходимый вам траффик через ssh.

Есть вопрос! — Mercurial репозиторий на своём компе

1) Кто-нибудь пробовал mercurial-server?
2) Интересует сравнение и описание mercurial-server и mercurial-ssh? не совсем разобрался с их предназначением.

Tips & tricks — SSH соединения

Если Вы довольно часто работаете с удаленными машинами по ssh, и постоянно набираете в консоли команды вида

1	ssh [email protected] -pPortNumber

или тому подобные, то может Вы задумывались как бы ускорить процесс.



Есть несколько вариантов решения задачи

Насоздавать на панели несколько разных элементов для разных серверов
Насоздавать несколько разных скриптов и потом элементы для них
Something completely different :)



Первый вариант неудобен тем, что если мы уже работаем в каком-то терминале он откроет новое окно. Второй - тем что постоянно нужно будет создавать всё новые и новые скрипты по мере добавления серверов.



Но можно поступить проще. В комплекте ssh уже всё есть для решения, читаем об этом под катом.

Есть идея! — Настощий гостевой вход

Однажды в бреду придумалось, что можно и нужно расширить идею гостевого юзера. Типа приходят гости и говорят GDM, что они - [email protected] вводят пароль* и В ПОСТ ВРЫВАЮТСЯ РОЗОВЫЕ ПОНИ получает свой home смонтированый по sftp, а с ним все настройки и прочую фигню. Что, при наличии общего набора софта типа браузеров позволит «ходить в гости со своими тапочками».

* или ключ с флэшки, хотя там тоже пароль нужен. Несекурно конечно, но это и не для правительственых учреждений, а для своих друзей.

Есть проблема! — Проблемы с настройкой SSH

Решил настроить (в первый раз ;)) SSH и SFTP, для начала на ноуте. Но не получается все правильно настроить, при подключении пишется:

1 2 3 4 5 6 7

<ku>$ ssh localhost -i .ssh/id_rsa ku@entheobook Enter passphrase for key '.ssh/id_rsa': Tunnel device open failed. Could not request tunnel forwarding.</ku>

и соединение обрывается (и выходим в шелл, чего по-глупости не замечаем :)) )

Tips & tricks — Как же достали сканеры ssh

1 2 3 4 5 6 7

sshd: Authentication Failures: unknown (114.70.60.245): 2770 Time(s) root (114.70.60.245): 464 Time(s) root (61-220-32-22.hinet-ip.hinet.net): 28 Time(s) unknown (61-220-32-22.hinet-ip.hinet.net): 16 Time(s) apache (114.70.60.245): 8 Time(s)

Вот ну что им делать не фиг лезть ко мне с тупым брутфорсом?..

Tips & tricks — Мешаем брутфорсу с помощью denyhosts

Недавно какой-то урод нехороший человек решил побрутфорсить мой VDS, подобрав рут пароль и поимев доступ через ssh.



Пресек я это дело, во-первых, отключением рут-доступа через ssh, а во-вторых, маленькой утилитой denyhosts.



Принцип действия ее весьма и весьма прост - после трех подряд идущих неудачных попытки аутентификации по ssh, она банит по IP машину брутфорсера.



Ахтунг! Не ошибитесь сами при вводе пароля, ибо Ваш покорный слуга сегодня это сделал, и это не есть круто.



В этом случае - марш с другого айпи в /etc/hosts.deny и удалять строчку со своим айпишником. Так я и поступил.



UPD Выяснилось, не все так просто, необходимо остановить denyhosts, зайти в /var/lib/denyhosts, посносить там в конфигах строчки со своим айпи, создать (опционально) allowed-hosts, в котором вписать свой айпи в строчку, и снова запустить демон.