Защищённый удалённый доступ к вашему Linux.

Навигация по сайту:

Наши кнопки

Yellow Leaf

LUG Н.Челны

Open Source в образовании
Доступно о Linux
Казанское Сообщество Разработчиков ПО

Сейчас на сайте

Сейчас на сайте 0 пользователей и 80 гостей.

Активные обсуждения форума

подробнее

Вход для пользователей

The answer you entered to the math problem is incorrect.

пт, 10/05/2007 - 10:25 — admin

Статья немного рассказывающая о безопастной настройке ssh и pam.

Задача - обеспечить удалённый доступ к компьютеру при условии, что IP адрес на удалённом компьютере не статический, а динамический. Плюс надо обеспечить безопасность передачи данных. Будем использовать систему DynDNS, сервис PAM, SSH.
Во первых зарегистрируемся на DynDNS - это бесплатный сервис "Динамический DNS", с помощью которого мы решим проблемму с динамичискими IP адресами. Далее скачаем программу ddclient (http://ddclient.wiki.sourceforge.net/) - это клиент для сервиса DynDNS. Теперь по выданному вам домену вы всегда сможете узнать IP адрес удалённого компьютера, так как при запуске на нём ddclient обращается к серверу DynDNS и сообщает своё IP адрес. DynDNS в свою очередь на запрос IP адреса по вашему доменному имени выдаст IP адрес.

Настрока ddclient достаточно проста:
vim /etc/ddclient/ddclient.conf

pid=/var/run/ddclient.pid
daemon=600
protocol=dyndns2
use=web, web=support.easydns.com/utils/get_ip.php
server=members.dyndns.org
login=ВАШЛОГИН
password=ВАШПАРОЛЬ
ВАШДОМЕН

ВАШЛОГИН и ВАШПАРОЛЬ - логин и пароль выданные нам при регистрации на сервисе DynDNS.
ВАШДОМЕН - доме выданный вам системой DynDNS.

создаём скрипт запуска для ddclient: chkconfig ddclient on

и стартуем его: /etc/init.d/ddclient start

Далее настраиваем модуль PAM:
vim /etc/pam.d/sshd

#%PAM-1.0
auth     include        common-auth
auth     required       pam_nologin.so
account include        common-account
password include        common-password
session include        common-session
account required       pam_access.so

vim /etc/security/access.conf

+ : ALL : 192.168.
+ : remote1776 : ALL
+ : nx : ALL
- : ALL : ALL

Первая строка ("+ : ALL : 192.168.") разрешает соединения со всех IP адресов локальной сети. Вторая строка ("+ : remote1776 : ALL") разрешает соеденение с любых IP адресов пользователю remote1776. Третья строка даёт пользователю nx определённые права под которым запущен NXFree. Последняя строка запрещает всё остальным.

Настраиваем SSH:
vim /etc/ssh/sshd_config

Port 16949
Protocol 2
PermitRootLogin no
MaxAuthTries 3
UsePAM yes

В первой строке мы меняем стандартный порт службы ssh на 16949 (чтоб враги не догадались:)
PermitRootLogin no - запрет на авторизацию пользователя root так же для пущёй безопасности.
MaxAuthTries 3 - допускается 3 попытки авторизации - защита от brute-force атак.
UsePAM yes - говорит SSH использовать конфигурацию PAM.

Рестартуем SSH сервер:
/etc/init.d/sshd restartи можем удалённо соеденяться: ssh :16949

Quote

Отправить комментарий

Защита от роботов: Назовите сумму 8 + 10?: *

Пример: 1+1, ответ: 2

Ваше имя: *

Адрес e-mail: *

Содержание этого поля является приватным и не предназначено к показу.

Домашняя страница:

Комментарий: *

Формат ввода

Filtered HTML

Адреса страниц и электронной почты автоматически преобразуются в ссылки.
Строки и параграфы переносятся автоматически.
You may quote other posts using [quote] tags.
You can use BBCode help in the text, URLs will be automatically converted to links
Use the special tag [adsense:format:group:channel] or [adsense:flexiblock:location] to display Google AdSense ads.

Full HTML

Адреса страниц и электронной почты автоматически преобразуются в ссылки.
You may quote other posts using [quote] tags.
You can use BBCode help in the text, URLs will be automatically converted to links
Use the special tag [adsense:format:group:channel] or [adsense:flexiblock:location] to display Google AdSense ads.

Подробнее о форматировании