czy cos takeigo jest mozliwe i ktos posiada skrypt zeby np po 2 nieudanych problach logowania przez ssh, ftp czy sambe dodawalo ip do listy blokowanych - kurde codziennie z innego ip probuja mi sie zalogowac a dodawanie recznie troche mija sie z celem
mam ustawiony access restriction tylko na 2 MACi ale najprowdopodobniej to robi cos innego poniewaz caly czas mi sie probuja logowac na ssh na konto root
Edytowany przez Adooni dnia 10-04-2011 11:45
Orange 300/50 Mb/s + ONT Terminal HPE MS gen8 Proxmox 7.0-11 VMs: Router OPNsense 23.X-amd64 and OMV HPE MicroServer gen8: Xeon E3-1265Lv2, 16GB (2x KTH-PL316E/8G), HP 331T, 4x4TB WD RED Asus RT-AC68U AccessPoint
Czekaj, to Ty nie kontrolujesz kto ma dostęp do możliwości zalogowania się do tych usług?
Po prostu:
1. zrób "statyczne DHCP" czyli przydzielaj adresy po MAC - trzeba na początku trochę czasu poświęcić, ale później jak znalazł.
2. zmień autoryzację SSH w ten sposób, żeby była możliwość zalogowania się tylko kluczem (wyłącz autoryzację hasłem)
3. Opisz dokładnie w jaki sposób Ci się do tej SAMBy dobierają i skąd.
Był: Asus RT-N16 + Tomato PL v1.28.9054 MIPSR2 116PL K26 USB VPN mod shibby
Jest: Asus RT-AC68U + AsusWRT-Merlin 380.62_1 DualWAN+ Huawei E1820 + 2.5" HDD 500GB Lenovo + Brother HL-1430
Mam ip przydzielone po MACu ale to nie chroni przed logowaniem na ssh - podalem MCA mojego PC i laptopa
mam wyciate po MACu nawet w access restriction ale chyba cos nie dziala z tym
nie wiem co wiecej moglbym zabezpieczyc jak dodam w firewallu np iptables -A INPUT -s 195.70.4.35 -j DROP to juz ten kolo sie na roota nie moze logowac temu szukam jakiejs opcji z automatu.
akurat to po ssh mi sie wlamac chca co kilkanascie min mam z innego ip probe zalogowania na roota
hm nie kumam o co chodzi z tym kluczem w pkt 2 czym sie rozni haslo od klucza ?
Probowalem robic tunell ssh tak jak w jednym tutorialu ale nie udalo mi sie na router przekierowac wiec mam na haslo ssh na zewnatrz
Orange 300/50 Mb/s + ONT Terminal HPE MS gen8 Proxmox 7.0-11 VMs: Router OPNsense 23.X-amd64 and OMV HPE MicroServer gen8: Xeon E3-1265Lv2, 16GB (2x KTH-PL316E/8G), HP 331T, 4x4TB WD RED Asus RT-AC68U AccessPoint
Adooni napisał(a):
nie wiem co wiecej moglbym zabezpieczyc jak dodam w firewallu np iptables -A INPUT -s 195.70.4.35 -j DROP to juz ten kolo sie na roota nie moze logowac temu szukam jakiejs opcji z automatu.
Kwestia skąd Ty się logujesz z zewnątrz. Przemyśl dokładnie, może się okazać, że regularnie wchodzisz z sieci jednego providera albo nawet z jednego konkretnego IP i w ten sposób możesz ograniczyć możliwość połaczeń ssh tylko do tej sieci/tego ip.
Cytat
Adooni napisał(a):hm nie kumam o co chodzi z tym kluczem w pkt 2 czym sie rozni haslo od klucza ?
Logowanie różni się zasadniczo pod względem bezpieczeństwa, chociaż może być mniej wygodne w użyciu. Generujesz sobie przy pomocy PUTTYGEN.EXE z pakietu putty parę kluczy prywatny-publiczny i w konfiguracji Administracja -->Dostęp Administratora wstawiasz w autoryzowane klucze swój klucz publiczny. Dokładny opis masz w tutorialach, ważne żeby do routera wkleić klucz w formacie:
ssh-rsa
xxxxx-ciąg danych klucza == rsa-key-nazwaklucza
a w takim formacie dostaniesz go tylko zaraz po wygenerowaniu z poziomu puttygen.exe (w okienku programu), w wygenerowanym pliku będzie inny format, którego tomato nie przyjmuje.
W kliencie (putty) wskazujesz plik z kluczem prywatnym i na jego podstawie się logujesz, bez hasła. Dzięki temu nie ma takiej możliwości, żeby komukolwiek się udało "zgadnąć" hasło, a klucz naprawdę ciężko podrobić. Oczywiście po przetestowaniu wyłączasz w w/w zakładce opcję "Pozwalaj na logowanie hasłem". Wada jest taka, że musisz mieć zawsze ze sobą np. pendrive z kluczem, a najlepiej ze skonfigurowanym putty i używać go na obcych komputerach. No chyba że np. zawsze się logujesz ze swojego laptopa, wtedy problemu nie ma.
Jak zmienisz logowanie na klucz, to atakujący, nie mając klucza i próbując się zalogować w przy użyciu hasła, po wpisaniu login as: root dostanie z automatu komunikat "No authentication method supported" i koniec.
Edytowany przez tristan dnia 10-04-2011 14:41
Był: Asus RT-N16 + Tomato PL v1.28.9054 MIPSR2 116PL K26 USB VPN mod shibby
Jest: Asus RT-AC68U + AsusWRT-Merlin 380.62_1 DualWAN+ Huawei E1820 + 2.5" HDD 500GB Lenovo + Brother HL-1430
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
poniewaz caly czas mi sie probuja logowac na ssh na konto root
Ew przesledze zrodelka fail2ban. Moze uda sie skompilowac fail2ban dla tomato.
