• Главная
    Главная Страница отображения всех блогов сайта
  • Категории
    Категории Страница отображения списка категорий системы блогов сайта.
  • Теги
    Теги Отображает список тегов, которые были использованы в блоге
  • Блоггеры
    Блоггеры Список лучших блоггеров сайта.
  • Блоги групп
    Блоги групп Страница списка лучших командных блогов.
  • Авторизация
    Войти Login form

Защищённый доступ к Linux

Задача - обеспечить удалённый доступ к компьютеру при условии, что IP адрес на удалённом компьютере не статический, а динамический. Плюс надо обеспечить безопасность передачи данных. Будем использовать систему DynDNS, сервис PAM, SSH.
Во первых зарегистрируемся на DynDNS - это бесплатный сервис "Динамический DNS", с помощью которого мы решим проблемму с динамичискими IP адресами. Далее скачаем программу ddclient (http://ddclient.wiki.sourceforge.net/) - это клиент для сервиса DynDNS. Теперь по выданному вам домену вы всегда сможете узнать IP адрес удалённого компьютера, так как при запуске на нём ddclient обращается к серверу DynDNS и сообщает своё IP адрес. DynDNS в свою очередь на запрос IP адреса по вашему доменному имени выдаст IP адрес.

Настрока ddclient достаточно проста:
vim /etc/ddclient/ddclient.conf

pid=/var/run/ddclient.pid
daemon=600
protocol=dyndns2
use=web, web=support.easydns.com/utils/get_ip.php
server=members.dyndns.org
login=ВАШЛОГИН
password=ВАШПАРОЛЬ
ВАШДОМЕН

ВАШЛОГИН и ВАШПАРОЛЬ - логин и пароль выданные нам при регистрации на сервисе DynDNS.
ВАШДОМЕН - доме выданный вам системой DynDNS.

создаём скрипт запуска для ddclient: chkconfig ddclient on

и стартуем его: /etc/init.d/ddclient start

Далее настраиваем модуль PAM:
vim /etc/pam.d/sshd

#%PAM-1.0
auth include common-auth
auth required pam_nologin.so
account include common-account
password include common-password
session include common-session
account required pam_access.so

vim /etc/security/access.conf

+ : ALL : 192.168.
+ : remote1776 : ALL
+ : nx : ALL
- : ALL : ALL

Первая строка ("+ : ALL : 192.168.") разрешает соединения со всех IP адресов локальной сети. Вторая строка ("+ : remote1776 : ALL") разрешает соеденение с любых IP адресов пользователю remote1776. Третья строка даёт пользователю nx определённые права под которым запущен NXFree. Последняя строка запрещает всё остальным.

Настраиваем SSH:
vim /etc/ssh/sshd_config

Port 16949
Protocol 2
PermitRootLogin no
MaxAuthTries 3
UsePAM yes

В первой строке мы меняем стандартный порт службы ssh на 16949 (чтоб враги не догадались:)
PermitRootLogin no - запрет на авторизацию пользователя root так же для пущёй безопасности.
MaxAuthTries 3 - допускается 3 попытки авторизации - защита от brute-force атак.
UsePAM yes - говорит SSH использовать конфигурацию PAM.

Рестартуем SSH сервер:
/etc/init.d/sshd restart

и можем удалённо соеденяться:
ssh remote1776@remotekereki.homelinux.com:16949

Привязка к тегам Linux Безопасность
в разделе: Linux Просмотров: 2559
0
  • Никаких комментариев пока не было создано. Будьте первым комментатором.

Оставить комментарий

Гость
Гость Понедельник, 13 Июль 2020