Техническое. Удивления

[netch]

Удивился, почему в sshd (от OpenSSH) нигде нет настройки вида "пускать паролем/PAM только с указанных хостов, а с остальных только по ключу". В финском таки есть - через host-specific subconfig. В опёнковском нет - что странно, потому что в ssh_config конфиги по хостам есть. Неужели никто пока такого не просил?
Ну и защита против перебора у него слабовата.
(вслед этому простому хауту)

D-Link удивляет. Новые линейки (DVG-40xx, DVG-70xx) - кому и зачем нужны дикие комбинации типа "16*FXS+16*FXO"? Я понимаю нафига например 2*FXO+6*FXS - вместо миниАТСки (только надо сервер добавить). Понятно зачем просто 4*FXS или 4*FXO. А зачем такая странная смесь?

В ru.unix.bsd интересная дискуссия вокруг MTU & IPSec. В принципе против IPSec у меня давно зуб (чуть поменьше чем против IPv6, но примерно того же характера), только надо сформулировать почётче.
Кстати, RFC4459 - рассуждения о проблемах MTU - достаточно грамотно и по сути.

Comments

[alex-butenko.livejournal.com]

а кстати да. Я как-то не подумал про такую тему. Было бы очень секьюрно.
А насчет брутфорса таки есть пачка методов. Во-первых pam_tally. Во-вторых в рассылках netbsd говорили про способ как забивать ip брутфорсеров в ipfw сразу же. Тоже через pam, по-мойму.

[netch]

Ну я против брутфорса использую самописку, которая следит за /var/log/auth.log. Настроена на вариант "3 неудачных попытки рута или 10 другого юзера => в сад на час".

Но вообще по ключу извне сети - было бы, конечно, неплохо.
А так - приходится два разных демона вешать:)

[alex-butenko.livejournal.com]

а у меня есть одна трастед машина в инете, так у меня только ей разрешен заход на
сервера, а от всех остальных ssh закрыт.

Попробую в рассылку опенбсдшную написать идею, может быть кто вдохновится. :)

[netch]

Просто блокировать ssh - это да, старый добрый метод (хотя на узле мы таких машинок держим более одной). Но некоторым можно было бы и по ключу разрешать пускать.

> Попробую в рассылку опенбсдшную написать идею, может быть кто вдохновится. :)

Может, они просто субконфиги сделают?

[gvy.livejournal.com]

http://freshmeat.net/projects/knock видел, btw?

[netch]

Я видел http://freshmeat.net/projects/doorman, это по сути то же самое. Да, идея старая и известная.

[gvy.livejournal.com]

> Да, идея старая и известная.
Это понятно, но мало ли.

За ссылку спасибо, разные варианты стука могут когда-то и понадобиться... (knockd по последовательности портов работает, что и телнетом можно напеть, если без UDP)

Финский -- это прошу прощения какой?

[(Anonymous)]

А то схема "с таких-то ИП только по паролям, с таких-то только по ключам, с третьих никак" мне вот как раз не помешала бы 8)

Re: Финский -- это прошу прощения какой?

[netch]

"Эх, молодёжь..." ™

Финский - это тот самый ssh, который до ~1999 был единственным и из последней действительно открытой версии которого была взята база для оёнковского OpenSSH.

Берётся на www.ssh.fi, для фрёвого порта - ports/security/ssh2

[iskatel.livejournal.com]

Как по мне, логична и удобна была бы другая схема - от части (или всех) хостов только пароль+логин, от части - ключ. Но это уже детали. Главное - нет ни того, ни другого.
А 2 демона и правила в iptables с редиректом на разные порты... как-то геморройно, мне кажется.

[iskatel.livejournal.com]

16+16 портов? Хотя бы для ситуации - небольшая площадка в каком-нить здании с множеством мелких конторок. Кому-то даем конечные fxs, кому-то - fxo на их мини-станции.
Другое дело, что аналоговые шлюзы Длинка раньше традиционно были на редкость глючными и кривыми.
В отличие от нормальных.

[netch]

Нет, конечно, крайний случай под такую комбинацию портов найти просто. Только какую долю составят эти крайние случаи? Посмотреть хотя бы на мини-АТС - стандартные комплектации идут например 2+6, 3+8, 6+16, 12+32... а никак не 4+4 или 16+16...

[iskatel.livejournal.com]

Я смотрю точки зрения провайдера. С точки зрения клиента с миниАТС вообще как правило нужны fxo и всё (конечные абоненты сидят на fxs, исходящие линии через fxs - извращение).
А без миниАТС, соотв. только fxs..
Сервер для ip АТС с аналоговыми входами и выходами - это как мне кажется, тупиковая идея.
Шлюзы типа 2+2 делает тот же Аддпак - и они вполне хороши.

[netch]

А что с точки зрения провайдера?
Ему удобнее использовать PRI или IP для доступа к аплинку. FXO вообще штука достаточно узкоспециализированная - в современных условиях.

[iskatel.livejournal.com]

Я имел в виду, что есть масса мелких клиентов, которым нужны ip-телефоны или аналоговые порты в количестве 2-4 штук. pri им не нужен - и много, и дорого, и некуда.
fxo - для тех, у кого миниАТС.

[netch]

Ну так в том и дело, что типичному клиенту FXS нужно в 3-4 раза больше, чем FXO. Иногда - и в 10 раз...

[iskatel.livejournal.com]

если клиенты - мелкие конторки, пропорция обратная или как минимум поровну.

[netch]

С чего вдруг? Пример такой ситуации можешь нарисовать?

[iskatel.livejournal.com]

Могу. Здание, неск. конторок, как правило с миниАТС, купили себе линии для МГ-МН связи. Линии надо включать в их мини-АТС (сам понимаешь, какие там pri в мелкой аналоговой станции? да даже и в цифровой..). ->> FXO порты на оборудовании провайдера, которое стоит там же в здании.

[iskatel.livejournal.com]

Вообще-то там, где нужно много аналоговых портов, давно уже делают проще - 19" панель с палатами расширения. И вставляешь сколько надо fx[o | s].

[netch]

Так наприер DVG-4088S _почти_ так и сделан. Там вставлен модуль 8+8. И говорят, что есть и модули типа только FXO или только FXS. Но где их достать...

[iskatel.livejournal.com]

Есть модули нельзя без проблем купить - значит, их нету :=-)

[gvy.livejournal.com]

Теперь я знаю, кого провоцировать высказаться вслух, если где чего недостаёт :)
http://www.opennet.ru/opennews/art.shtml?num=10061

[netch]

Совпадение, просто совпадение:)

[iskatel.livejournal.com]

Похоже, тебя услышали :)

OpenSSH 4.6 :
Changes since OpenSSH 4.5:
============================
* sshd now allows the enabling and disabling of authentication
methods on a per user, group, host and network basis via the
Match directive in sshd_config.

Надо будет проверить, можно ли задать разрешения для ключей.

[netch]

Да, я аж сам удивился.

Если можно для дефолтной группы хостов написать "PasswordAuthentication no" и "ChallengeResponseAuthentication no", а для своих - разрешить хотя бы второе - будет достаточно положительного эффекта:)) Все переборщики резко пойдут лесом.

[iskatel.livejournal.com]

Все переборщики и так идут лесом, а вот удобство сильно возрастет.
Мне например, было бы удобно для спец. логина открыть доступ с 0/0, а вот для типовых рабочих - только со своих сеток.

offtopic (приятное удивление)

[gvy.livejournal.com]

Касательно кошек, писюков, шин, процессоров и трафика:

LINUX NET APPLIANCE PLATFORM TARGETS SECURITY APPS
Bivio Networks has added a high-end model to its line of Linux-based
network appliances for deep packet inspection. The sub-$10,000 "7000"
runs the company's Linux-based BiviOS on an interesting AMP
(asymmetrical multiprocessing) architecture claimed capable of
wirespeed Layer 3-7 network application processing at 10
gigabits-per-second.
http://ct.enews.deviceforge.com/rd/cts?d=207-199-2-28-11164-17518-0-0-0-1

Будто минимум одни докопались в правильном направлении?