Keresés

Új hozzászólás Aktív témák

  • bencze

    senior tag

    válasz Cool Face #23907 üzenetére

    Hali,

    Kulcsos auth kényelmes, ha teszel passphraset is rá akkor punt ugyanolyan mintha jelszóval használnád feltéve, hogy a kulcsot a kliens gépen beállítottad egyszer. Ha minden frankón megy csak akkor kapcsold ki a password authot, és akkor is legyen bent egy sessionod a biztonság kedvéért hogy letesztelhesd. :)
    Én puttyt használok + linuxos ssh klienst és a beállítás után semmi spéci tennivaló nincs. Linux alatt ssh-keygen -nel, putynak a puttygen cuccával generálom a kulcsot a kliens géphez, a publikus kulcsot másolni szoktam a ~/.ssh/authorized_keys -be, ezen a 600 jogosultságra kell figyelni és a publikus kulcs egészben látsszon, de erről van infó neten.

    fail2ban: Én abszolút nem értek hozzá de annyi, hogy van egy jail.local filem amiben valami default bigyók, szolgáltatás definíciók vannak, ott az ssh be van kapcsolva, így néz ki:

    [ssh-iptables]

    enabled = true
    filter = sshd
    action = iptables[name=SSH, port=ssh, protocol=tcp]
    sendmail-whois[name=SSH, dest=root@localhost, sender=fail2ban@home]
    logpath = /var/log/secure
    maxretry = 5

    Ha defaultban ez nincs bekapcsolva (nem emlékszem) akkor nézz rá.

    Én a torrentet ssh-n keresztül használnám, puttyból ssh tunnelezve és az ssh kliensben a localhost:xxx lokál portot adod meg ennyi és akkor nem kell kitenni netre.
    Transmissionhöz évek óta ezt használom Windows alól:
    https://sourceforge.net/projects/transgui/
    teljesen jó...

    szerk:
    Unattended upgradet nem ismerem, én kézzel szoktam, így legalább ha tudom, hogy nincs időm piszmogni vele (ha gond van) inkább nem csinálom.

    Email notificationnel én is sokat szenvedtem, régebben nagiosom futott és ahhoz használtam valami pythonos vagy fene tudja miféle scriptet ami a gmailes címemet használva levelezett velem. Gugli...
    A sendmail manual pagébe meg guideokba bele tudnék őszülni, mindigis nagy mumusom volt a mail konfig mert dns-el kellett kezdeni és ahhoz sem értek. Azóta mondjuk van lokál dns-em legalább egy guide alapján de a "rendes" mailszerver konfiggal azóta sem foglalkoztam.

  • gt7100

    tag

    válasz Cool Face #23904 üzenetére

    Amit mindenképp tegyél meg: azt a gépet, amin ezek futnak, amennyire lehet, válaszd le a lan-ról és kezeld úgy, mintha idegen gép lenne! (Lásd még DMZ)
    Authentikáció, ahogy előttem már írták, biztonságosabb kulccsal. A privát kulcsnak legyen jelszava.
    Van a PuTTy-nak egy kis programja (Pageant), ami betölti a privát kulcsot és attól kezdve rajta keresztül megy az authentikáció, nem kell folyton a kulcsok betöltésével foglalkozni.

    Frissítést nem bíznám automatára, de ez csak a saját mániám.

  • vargalex

    félisten

    válasz Cool Face #23904 üzenetére

    Én csak annyit tennék hozzá, hogy szerintem éppen hogy kényelmesebb a kulcsos authentikáció. Nem mellesleg biztonságosabb is.

  • bencze

    senior tag

    válasz Cool Face #23900 üzenetére

    Majd valami okos ember megszakérti de biztos, hogy ki akarod tolni a transmissionod admin felületét Internetre? Nem tudom mennyire jó az authentikációja de én ezt nem merném. Nekem csak ssh van kiengedve kizárólag kulcs authhal, ez van fail2bannal védve, azon kívül mondjuk kint van a minecraft szerverem de már azt sem tudom mennyire jó ötlet, mentségemre legyen mondva az is saját unprivileged technikai userrel, ha felnyomják valami csúnya exploittal hátha nem tudják szétverni az egész gépet.

    Ha valami remote gép és kell a transmission access, én ssh tunnelbe terelném. Lehet nem annyira kényelmes de az ssh talán mégiscsak biztonságosabb, azt elegen tesztelik világszerte.

Új hozzászólás Aktív témák

Hirdetés