https://www.opennet.me/openforum/vsluhforumID3/88438.html Опубликована серия статей (http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocking-bezopasnost-dostupa-knockd-zaschita-ssh-1) о возможностях и доступном ПО для реализации техники port knoсking (http://en.wikipedia.org/wiki/Port_knocking), позволяющей инициировать на межсетевом экране временное открытие заданного сетевого порта, только после предварительного обращения к определённой последовательности портов (например, доступ к порту SSH может быть открыт для текущего хоста после попытки соединения к 1563, 1418 и 1275 портам).<br><br><br><br>В статьях рассмотрены:<br><br><br>- Часть 1 (http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocking-bezopasnost-dostupa-knockd-zaschita-ssh-1) - общие концепции "Port knocking" и пакет knockd (http://www.zeroflux.org/projects/knock) (traditional port knocking, TPK);<br> <br>- Часть 2 (http://blogerator.ru/page/pozadi-dverej-port-knosking-skrytyj-setevoj-dostup-portknocking-pk-2) - Cerberus (http://silverstr.ufies.org/blog/archives/000625.html) (авторизация с одноразовым пар https://www.opennet.me/openforum/vsluhforumID3/88438.html#26 Sat, 02 Feb 2013 18:18:05 GMT &gt; И ждёт, и читает это уведомление?B-O <br><br>Да уже выкинул давно всё это, от скан-ботов - смены порта хватает, <br>от бутфорса - генератор паролей и 5 соединений в сек., больше - бан на три минуты.<br>и к тому же есть PAM с белым списком. <br><br> https://www.opennet.me/openforum/vsluhforumID3/88438.html#25 Sat, 02 Feb 2013 15:47:02 GMT Эх, уже сам прочитал на википедии. Да, может быть полезным в отдельных случаях.. <br><br> https://www.opennet.me/openforum/vsluhforumID3/88438.html#24 Sat, 02 Feb 2013 15:40:58 GMT Если речь о надежности, то не вполне понятно, зачем вообще что-то прятать при наличии шифрования (в т.ч. адекватного пароля)? Или важно именно утаить наличие ssh, но зачем?<br> https://www.opennet.me/openforum/vsluhforumID3/88438.html#23 Thu, 31 Jan 2013 15:34:39 GMT &gt;&gt; вот спасибо авторам, за то что вкусно пишут нам!<br>&gt;&gt; а для тех кто не читал - штатный ssh (клиент) умеет port <br>&gt;&gt; knocking? ну чтоб telnet/nc не заморачиваться.<br><br>ProxyCommand в ~/.ssh/config + netcat и, таки да, как бы скрипт.<br><br>&gt;&gt; Али может тулзы какие специальные?<br><br>Конечно! Ищите knocking в ближайшем к Вам app-store.<br><br>&gt; http://roland.entierement.nu/blog/2008/08/19/netfilter-based-port-knocking.html <br><br>Я себе ноком повесил один пинг _размером NMYZ байт. Одна строчка с -m recent. Всё лучше, чем перевешивание sshd на другой порт. Вписал ping в ~/.ssh/config. Да, netcat нужен, но без скриптов обошёлся.<br><br>&gt; --- <br>&gt; Где-то тут на форуме я скриптик писал, который раз в час генерит <br><br>http://www.google.com/search?q=iptables+knock+site:opennet.ru<br>и там же //knock скрипт pavlinux<br><br>&gt; отсылает почту с уведомлением о доставке и только тогда меняет порты. :) <br><br>И ждёт, и читает это уведомление?B-O<br> https://www.opennet.me/openforum/vsluhforumID3/88438.html#22 Thu, 31 Jan 2013 12:29:47 GMT &gt; за ssh-пароли нужно расстреливать на месте <br><br>А давай я продолжу и ты сам повесишься! :)<br><br>Четвертовать, делать лоботомию, ректальное шунтирование, 10000-вольтную мезотерапию,... за:<br><br>- одинаковый SSH ключ ко всем 50 серверам; <br>- одинаковый логин на 50 серверах; <br>- генерацию SSH ключа с использованием не сертифицированного ГСЧ;<br>- хранение SSH ключей в не зашифрованном виде; <br>- хранение SSH ключей на не шифрованной файловой системе;<br>- использование одного и того же компьютера для доступа в интернет и хранения ключей;<br>- использование проводов периферийных устройств с повышенным ЭМИ.<br>- расположение монитора в менее, чем 90° к плоскости окна.<br>- расположение рабочего места в прямой видимости к траектории спутников!<br>- работа с ключами в помещении не оборудованном ГБШ<br>- работа с ключами в помещении имеющими толщину стен менее 50 см.<br>- работа в помещении без акта проверки на отсутствие передающих устройств.<br>....<br> https://www.opennet.me/openforum/vsluhforumID3/88438.html#21 Thu, 31 Jan 2013 05:17:39 GMT Так i2p и knocking прячут немного разные вещи, нет?<br> https://www.opennet.me/openforum/vsluhforumID3/88438.html#20 Thu, 31 Jan 2013 04:10:48 GMT &gt;&gt; И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...<br>&gt; а разве в i2p -- происходит постоянно то запуск то снова отключение <br>&gt; JVM?<br><br>нет, но при чем это тут?<br> https://www.opennet.me/openforum/vsluhforumID3/88438.html#19 Thu, 31 Jan 2013 03:21:39 GMT Гммм. Для защиты от replay-атаки тут предлагается использовать одинаковые секретные списки knock-последовательностей на сервере и клиенте. Значит, эти секретные списки заранее нужно создавать, копировать надёжным способом с сервера на клиент (или наоборот) и пополнять. Если речь идёт о такой хлопотной процедуре, может тогда не стесняться и сразу реализовать для обмена данными шифрование с бесконечным ключом?<br> https://www.opennet.me/openforum/vsluhforumID3/88438.html#18 Thu, 31 Jan 2013 01:08:49 GMT Салага дочитал до главы про авторизацию по ключам? :-) Похвально.<br>