Вопрос по роутеру
veres 18 ноября, 2009 - 12:16
Помогите решить вопрос.
Есть роутер на gentoo который раздает интернет машинам в локальной сети.
На нем настроено и работает dhcp, ppp, squid, iproute2, есть к нему доступ по ssh
так вот, скажите плиз, как может посторонний человек не зная пароль root, не имеющий учетной записи в файле /etc/ppp/chap-secrets и pap-secrets(squid тоже работает только на внутреннюю сеть)подключиться к локальной сети например из дома и пользоваться интернетом
VPN отпадает, т.к. тогда в squid логах
дело в том, что от нас уволился человек, который делал этот роутер, а я в этом не сильно понимаю.
»
- Для комментирования войдите или зарегистрируйтесь
/
Доступ по ssh-извне?
Если человек делал это, то он с практически достоверной вероятностью знает регистрационные данные [по крайней мере одного] ppp-пользователя. Рекомендую внеплановую спему паролей :)
Далее: чтобы подключиться из дома необходим интырнет. Следовательно доступ с целью выхода в него исключаем.
Что здесь делает
ppp
--- не знаю. Распиши назначение/область применимости, если есть подозрения --- представь на рассмотрение.А вот ssh и локалка --- да.
Рекомендую ревизию системных пользователей.
И запрет доступа извне для всех системных пользователей, имеющих пароль (доступ извне по ssh строго по ключу). Список пользователей, удостоенных такой привилегии: в лицах и на карандаш.
:wq
--
Live free or die
Дополню. Даже те, кто
Дополню.
Даже те, кто получает извне доступ по ключу, должны быть рассмотрены. Лучше всего сменить им всем ключи.
.
Смена ключей для доступа извне по ssh (у меня есть нехорошее подозрение, что список доступных сценариев авторизации не ограничен авторизацией по ключу) проходит в рамках (как частный случай) экстренной внеплановой смены паролей.
Ну и конечно: настройка логирования, в частности sshd. Вообще, раз пошла такая пьянка и надо озаботиться паранойей, то стоит принять меры к обеспечению невозможности изменения журнала (лога).
ЗЫ: Здесь ещё важно кто и как уволился (уволили?).
:wq
--
Live free or die
root для ssh forwarding не
root для ssh forwarding не обязателен. Посмотрите
getent passwd
на предмет имеющихся пользователей. Если есть пользователи с домашними директориями, посмотрите, что в них, не забывая про скрытые файлы. На периоод выяснения источника проблемы закройте доступ на ssh извне.Спасибо за ответы... видимо
Спасибо за ответы... видимо все таки по ssh
а как закрыть доступ по ssh извне, чего-то в конфиге не нашел? А точнее нужно не закрыть извне, а разрешить только пользователям в локальной сети 192.168.0.10 - 192.168.0.254?
veres написал(а): а как
/etc/ssh/sshd_config -> ListenAddress (man sshd_config)
Или через iptables
Эгоист, это тот человек, которых думает о себе, вместо того, чтобы думать обо мне.
Ĉu vi komprenas min?
Неправильная постановка задачи
Странный у тебя какой-то роутер... Куда всякий желающий (пусть даже реальный пользователь) может зайти по
ssh
...Ты сначала должен был бы задаться вопросом: зачем (когда/где/насколько) нужен доступ извне по ssh?
Потом: можно ли этим пожертвовать?
Ну и завершающим этапом: запретить доступ по ssh извне всем, кроме ограниченного и проверенного списка пользователей, с авторизацией строго по ключу (ключевые носители --- предмет строгой отчётности, выдаются строго под роспись).
Ну и настройка логирования/анализ логов --- с целью выяснения кто/когда/чего.
:wq
--
Live free or die
это не у меня странный
это не у меня странный роутер. Я же писал, что его делал не я. Я вот пытаюсь исправить.
Помогите плиз подправить конфиг. Вообщем файл sshd_config
Раскомментировал строку ListenAddress и дописал 192.168.*.*
но рестарт sshd не прошел bad addr or host 192.168.*.*
вообщем мне нужно, чтоб через ssh можно было подключиться только из локальной сети, адреса в которой 192.168.0.10 - 192.168.0.254
т.е. если я подключусь через vpn к локалке, я смогу зайти через ssh и на роутер.
как правильно это сделать?
.
Здесь полезно местами задумываться на предмет: что/зачем делалось, в чём (и почему) не было доделано.
Правильно пишет.
И вообще он какой-то у тебя очень вежливый :) Я бы на его месте на это и не такое сказал :)))
В качестве значения
ListenAddress
должен стоять полный IP-адрес, метасимволы не допускаются. Напиши там 192.168.0.XXX, где XXX --- адрес сервера в сети 192.168.0.0/24.Этот момент лучше дополнительно проконтролировать посредством файрволла.
Про настройку файрволла... есть знающие получше меня.
Как ты себе это представляешь? Я --- с трудом.
Хотя VPN также не является областью моей компетенции :)
:wq
--
Live free or die
Anarchist написал(а): Как ты
Представляю так. У меня есть логин и пароль на vpn соединение. Соединяюсь, моя например домашняя машина получает локальный ip адрес рабочий - а с локальных адресов будет разрешено коннектиться по ssh к роутеру. Понимаю, что если что-то случиться например с ppp то не смогу из дома соединиться, но это не важно... такое думаю бывает крайне редко.
veres написал(а): Представляю
Могу предложить посмотреть на ssh-tonnel (как это сделано у меня). man ssh на предмет ключика -L (существует виндовая реализация openssh) либо через putty. Работает как на виндовых так и на линуксовых клиентах.
ЗЫ Рекомендую также посмотреть в сторону fail2ban.
Эгоист, это тот человек, которых думает о себе, вместо того, чтобы думать обо мне.
Ĉu vi komprenas min?
Помогите плиз. У меня еще
Помогите плиз. У меня еще возник вопрос по поводу маршрутизации. Есть сеть из нескольких машин и роутер. Есть два провайдера. На роутере работает iproute2
В rt_tables добавлены 2 таблицы prio1 и prio2 lля 1 и 2 провайдера. Открываю файл /etc/conf.d/net
Правила настроены следующим образом
rules_eth1=(
"from 192.168.0.32/27 table prio1"
"tos reliability table prio1"
"from ${prov1_ip} table prio1"
)
rules_eth2=(
"from 192.168.0.16/28 table prio2"
"from 192.168.0.64/26 table prio2"
"from 192.168.0.128/25 table prio2"
"tos throughput table prio2"
"from ${prov2_ip} table prio2"
Отсюда видно, что подсети 192.168.0.16/28 ; 192.168.0.64/26 ; 192.168.0.128/25 должны выходить в интернет через провайдера 2, т.к. напротив них написано table prio2 , но реально через провайдера 2 ходит в инет только подсеть 192.168.0.128/25
Объясните что не так?
Так... немного не то. На
Так... немного не то. На машине с windows с ip адресом 192.168.0.67 т.е. из подсети 192.168.0.64/26 делаю tracert 2ip.ru к примеру...
видно, что идет через провайдера 2, как и должно быть... но, например на сайте 2ip.ru или speedtest.net показывает ip адрес 1 провайдера... почему так?
Есть мнение, что для
Есть мнение, что для вопроса(ов?) по маршрутизации имеет смысл открыть отдельную тему.
:wq
--
Live free or die