abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
včera 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 2
včera 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
včera 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 10
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 28
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 808 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Denyhost - rozlisovani na urovni loginu

polo23 avatar 19.1.2012 19:59 polo23 | skóre: 26 | blog: polo23
Denyhost - rozlisovani na urovni loginu
Přečteno: 342×
Ahoj,

narazil jsem na nasledujici problem. Jsem v LAN za verejnou IP adresou "X" a potrebuju se prihlasovat domu do jine site pres SSH. Bohuzel v hosts.deny mam zaznam zakazujici verejnou IP adresu "X", protoze se z ni nekdo snazi nabourat ke me pres SSH. Tim padem je blokovana a ja nemam sanci se pripojit. Chtel jsem se zeptat zda je nejak mozne dat do hosts.allow neco jako:
sshd: mojejmeno@domaci_ip
a do hosts.deny
sshd: domaci_ip
V dokumentaci zadny takovy priklad neni a ja si myslim ze Denyhost neumi rozlisovat na urovni prihlas jmena, ale mozna se pletu.
Diky
http://www.it-kurz.cz

Odpovědi

19.1.2012 20:54 Ondřej Kopka | skóre: 20 | blog: ondrejk
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Pokud nemáš potřebu držet se denyhosts, můžeš použít fail2ban. Má mnohem větší možnosti konfigurace a lze použít nejen pro ssh. V konfiguraci si nastavíš do ignorehost IP adresu stroje, která nemá být nikdy blokována. V konfiguraci ssh zakaž přihlášení na roota a povol přihlášení jen konkrétním uživatelům. Pak už jen stačí vygenerovat si klíče, zakázat přihlašování přes heslo a je hotovo.
20.1.2012 13:20 JanM | skóre: 28
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
V konfiguraci si nastavíš do ignorehost IP adresu stroje, která nemá být nikdy blokována.
Totéž ale zvládne i denyhost a navíc to neřeší problém tazatele.

Since it is quite possible for a user to mistype their password repeatedly it may be desirable to have DenyHosts prevent specific IP addresses from being added to /etc/hosts.deny. To address this issue, create a file named allowed-hosts in the WORK_DIR. Simply add an IP address, one per line. Any IP address that appears in this file will not be blocked. Additionally, as of v1.0.3, a valid hostname can also be placed in the allowed-hosts file. For each hostname appearing in this file, the IP address will be resolved and any ssh connections that match either this hostname or this resolved IP address will not be blocked.

Nicméně, zaměřit se na jiné metody blokování by asi výhledově bylo stejně rozumnější, protože např. Arch linux už denyhost vyřadil z repozitáře někdy před půl rokem.
polo23 avatar 20.1.2012 22:22 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Ahoj,

muzes nejakou s tech dalsich metod nastinit? Mas na mysli treba TCP Wrapper? Pokud by bylo mozne ho pouzit bez inetd tak bych o tom uvazoval...

K tomu DenyHosts - tam je taky velka vyhoda, ze ziskavas seznam IP adres ze serveru, na ktery uploaduji "clenove" tohoto projektu adresy z nich na ne bylo utoceno. Takze tim muzes taky predchazet potizim...
http://www.it-kurz.cz
21.1.2012 15:40 JanM | skóre: 28
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
DenyHost bylo z Archu vyhozeno právě kvůli končící podpoře TCP Wrappers.

Alternativou jsou iptables, pomocí nich blokují třeba fail2ban a sshguard. Osobně používám ufw jako GUI pro firewall, ten má definovanou akci "limit", což není úplně totéž, ale zatím mi to stačí.

http://hostingfu.com/article/ssh-dictionary-attack-prevention-with-iptables http://www.the-art-of-web.com/system/fail2ban/

Ohledně původního problému: nestačilo by otevřít SSH ještě na jiném (neobvyklém) portu a připojovat se na něj? Nebo vymyslet pravidlo pro iptables, které by identifikovalo ten konkrétní počítač?
pavlix avatar 21.1.2012 16:30 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Ohledně původního problému: nestačilo by otevřít SSH ještě na jiném (neobvyklém) portu a připojovat se na něj? Nebo vymyslet pravidlo pro iptables, které by identifikovalo ten konkrétní počítač?
Nebo se na něj připojovat přes HTTP tunel, to je nenápadnější :).
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
polo23 avatar 21.1.2012 18:43 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Muzes to s tim pripojenim pres http tunel trochu rozvest?
Diky
http://www.it-kurz.cz
pavlix avatar 22.1.2012 01:19 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
To měl být vtip :). Ve skutečnosti je mnohem nenápadnější to SSH schovat do DNS traffiku, to útočník náhodný útočník zkoušet nebude :).
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
polo23 avatar 22.1.2012 11:02 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Aha, ja jsem si rikal, ze o necem takovem jsem v zivote neslysel:)
http://www.it-kurz.cz
pavlix avatar 22.1.2012 18:06 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Jo takhle... ta to sorry, až takhle jsem tě chytit nešel. Tunelování přes HTTP je samozřejmě možné, stejně jako přes ICMP nebo dokonce DNS. S tím, že poslední z nich má asi největší prostup, protože funguje i na sítích kde máš DROP na veškerou komunikaci do internetu.

Vtip byl jen to nasazení těchto technik jako běžnou ochranu SSH.

Že jsi o něčem v životě neslyšel, není důvod to hned smést ze stolu.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
polo23 avatar 21.1.2012 18:07 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Diky za info, ssh mam samozrejme pristupne na neobvyklem portu:)
http://www.it-kurz.cz
pavlix avatar 22.1.2012 01:22 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Nemám nic proti tomu, když lidé používají security by obscurity. Určitou funkci to má (například zpřehlednění logů).

Ale co mi přijde úplně na hlavu je, když lidi uvozují větu o použití security by obscurity slovem „samozřejmě“. To je jako kdyby vyřvávali z okna „já tomu prd rozumím“.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
22.1.2012 12:44 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
V zásadě je to nesmysl. Ale drobnou ochranu proti script kiddies to poskytovat může.
pavlix avatar 22.1.2012 18:07 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Viz:
Nemám nic proti tomu, když lidé používají security by obscurity. Určitou funkci to má (například zpřehlednění logů).
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
22.1.2012 20:52 aaaaaaaaaaaaaaaa
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Na sprehladnenie logov staci povolit pristup len z 1 IP (staticka, domaca) a nechavat domaci PC zapnuty. Netreba ani menit porty. Je to tiez security by obscurity (keby niekto prisiel ku mne domov, nasiel by kluc ulozeny na nezavislom mediu a vymamil by zo mna heslo, tak by toto cele bolo zbytocne), ale podla mna to funguje lepsie ako kopec inych "zarucene otestovanych" rieseni.
pavlix avatar 23.1.2012 13:46 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Na sprehladnenie logov staci povolit pristup len z 1 IP
Už vidím reakci zákazníka na „opravím to příští středu, až budu doma“ :).
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
20.1.2012 13:47 Radovan Garabík
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
sem v LAN za verejnou IP adresou "X" a potrebuju se prihlasovat domu do jine site pres SSH. Bohuzel v hosts.deny mam zaznam zakazujici verejnou IP adresu "X", protoze se z ni nekdo snazi nabourat ke me pres SSH.
Posledných pár mesiacov také riešim povolením SSH (a iných služieb výlučne) cez IPv6 a nastavením 6to4 (keďže natívne pripojenie nemám nikde).
21.1.2012 16:51 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
Pokud není problém v DoS útoku, tak bych snahu se bourat přes ssh řešil nastavením přihlášení pouze přes klíče, přihlášení přes heslo zcela znemožnil a neblokoval adresy.
22.1.2012 15:31 ahuska
Rozbalit Rozbalit vše Re: Denyhost - rozlisovani na urovni loginu
http://cs.wikipedia.org/wiki/Port_knocking

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.