Author

Topic: Как настроить SSH для 2-х ферм? (Read 2848 times)

LZ
legendary
Activity: 1722
Merit: 1072
P2P Cryptocurrency
Не забудьте поднять denyhosts. Если порт стандартный, то ломиться на SSH демон очень даже будут.
member
Activity: 85
Merit: 10
Quote
А если учесть, что у многих пароли вида 123456 или другой набор цифр, то подобрать его легко.
Решение очень простое - не ставить пароли вида 123456 на машины к которым можно подключится по ssh из интернета. Пробуют как правило несколько десятков-сотен часто используемых паролей.
full member
Activity: 1092
Merit: 227
Flexystar, брутят обычно бот-сети, по нескольку запросов с 1-го IP. Получение даже пользовательского доступа позволит отправлять спам, ддосить и т.д. и т.п. А если учесть, что у многих пароли вида 123456 или другой набор цифр, то подобрать его легко.

Конкретные цели можешь поспрашивать у владельцев бот сетей, а я просто совсем редко поглядывал лог соединений Wink
Только неук поставит простой пароль на Linux , root'у Smiley
Учитывай еще бан ssh после неправильных вводов. Долгий брут будет однако)  Grin
member
Activity: 71
Merit: 10
Flexystar, брутят обычно бот-сети, по нескольку запросов с 1-го IP. Получение даже пользовательского доступа позволит отправлять спам, ддосить и т.д. и т.п. А если учесть, что у многих пароли вида 123456 или другой набор цифр, то подобрать его легко.

Конкретные цели можешь поспрашивать у владельцев бот сетей, а я просто совсем редко поглядывал лог соединений Wink
full member
Activity: 1092
Merit: 227
Вообще то пробрасывать 22 порт тоже не очень умно, учитывая сканеры SSH. Проброс порта 10122 (к примеру) - более надёжный способ. В любом случае необходимо использовать сложный пароль или генерировать ключ. Если используются нестандартные порты, то для второй фермы можно использовать порт 10222 Smiley
Паранойя еще одна?)
1 - кто будет знать твой IP?
2 - кому вообще нужна "твоя" ферма?
3 - попробуешь сбрутить пароль свыше 8 генерированных знаков - дай знать. Буду знать к кому обращаться. Wink
member
Activity: 71
Merit: 10
Вообще то пробрасывать 22 порт тоже не очень умно, учитывая сканеры SSH. Проброс порта 10122 (к примеру) - более надёжный способ. В любом случае необходимо использовать сложный пароль или генерировать ключ. Если используются нестандартные порты, то для второй фермы можно использовать порт 10222 Smiley
member
Activity: 73
Merit: 10
 Спасибо всем,  с роутером попробую, как доберусь,  а пока по 1му варианту
full member
Activity: 1092
Merit: 227
Конечно такое удастся без проблем. Но довольно глупый вариант.

Зато очень простой Smiley И требует минимум напрягов.
А то порты на роутере пробрасывать явно дольше.

И еще одно - не надо трогать 23 порт, это telnet.
Простой - возможно. Но этим самым нужно делать больше движений КАЖДЫЙ раз при конекте на вторую машину. А так ОДИН раз пробросить  - и жизнь прекрасна.
Порты пробрасывать дольше? О_о смеешься? У меня проброс занимает 1-2 мин. и это если учесть только что перезагрузка модема и поднятие ADSL занимает ~40 сек.
23 порт был проведен только в качестве примера - и если даже его использую - ничего не случится. Часто видишь открытый telnet у кого-то? Лично я не вижу в своей практике, что нормальные люди его не закрывают.
newbie
Activity: 33
Merit: 0
Конечно такое удастся без проблем. Но довольно глупый вариант.

Зато очень простой Smiley И требует минимум напрягов.
А то порты на роутере пробрасывать явно дольше.

И еще одно - не надо трогать 23 порт, это telnet.
full member
Activity: 1092
Merit: 227
А еще вариант - заходи сначала на первую ферму, а по локалке на вторую, выйдет что-то типа SSH over SSH Smiley Туннель внутри туннеля.

Спасибо за совет

Удалось сделать такое?
А чего так интересно?)
Ты так говоришь, будто это невозможное должно стать возможным.
Конечно такое удастся без проблем. Но довольно глупый вариант.
newbie
Activity: 33
Merit: 0
А еще вариант - заходи сначала на первую ферму, а по локалке на вторую, выйдет что-то типа SSH over SSH Smiley Туннель внутри туннеля.

Спасибо за совет

Удалось сделать такое?
full member
Activity: 1092
Merit: 227
Вообще-то решение зависит от твоих возможностей роутера. Проброс портов может быть и проще.
На обеих фермах поднимаешь SSH.
На роутере делаешь проброс входящего примерно такой схемой:
IN 22 = OUT 22 192.168.1.2   [I Rig]
IN 23 = OUT 22 192.168.1.3   [II Rig]

Как выше писал - не на всех роутерах это сделаешь. Но допустим на моем ASUS WL-500gP V2 с не стандартной прошивкой - это возможно (так и настроено собственно из-вне доступ к различным PC IntraNet.)
member
Activity: 73
Merit: 10
А еще вариант - заходи сначала на первую ферму, а по локалке на вторую, выйдет что-то типа SSH over SSH Smiley Туннель внутри туннеля.

Спасибо за совет
newbie
Activity: 33
Merit: 0
А еще можно для второй фермы использовать нестандартный порт для SSH сервиса, отличный от 22, например какой-то 27 (он вроде больше никем активно не используется).
Мы так делали часто в подобных случаях.

А еще вариант - заходи сначала на первую ферму, а по локалке на вторую, выйдет что-то типа SSH over SSH Smiley Туннель внутри туннеля.
AV
hero member
Activity: 910
Merit: 1000
А если на первой ферме расшарить интернет, а вторую подключать к первой через дополнительный сетевой интерфейс ?
member
Activity: 73
Merit: 10
Имеются 2 фермы, подключенные к роутеру с динамичным IP. В настройках DNS прописал адрес с DynDNS, а в роутере настроил перенаправление порта 22 на одну из ферм. Соединение по SSH происходит без проблем. Не могу понять как же настроит доступ на 2ю ферму. Адрес ДНС один, а ферм 2-е и порт 22 уже занят. Помогите плз.
Jump to: