| View previous topic :: View next topic |
| Author |
Message |
ThorOdino
Tux's lil' helper
Joined: 14 Mar 2006
Posts: 103
|
 Posted: Tue Mar 14, 2006 11:30 am Post subject: Banner di sshd |
 |
|
ho configurato sshd del mio pc di casa per ascoltare su una porta alta attivando il solo login con chiave pubblica.
Ora mi mancherebbe solo di evitare che chi fa un "telnet mioIP miaPORTA_TCP" veda il banner
SSH-2.0-OpenSSH_4.2
come fare?
Grazie |
|
| Back to top |
|
 |
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Tue Mar 14, 2006 12:05 pm Post subject: Re: Banner di sshd |
|
|
non puoi.
openSSH deve mostrare la propria versione, perché il protocollo non è mai stato standardizzato, ed è l'unico modo possibile er identificare il server da parte del client.
anche il fatto di cambiare la porta non ha nessuna utilità, dal momento che permetti il login solo con chiave. quegli espedienti, di solito, procurano solo pesanti seccature con i firewall e difficoltà nell'identificazione dei servizi.
comunque sarebbe una cosa del tutto inutile. non guadagneresti in sicurezza né in segretezza, avresti solo un servizio che non si identifica |
|
| Back to top |
|
|
lavish
Bodhisattva
Joined: 13 Sep 2004
Posts: 4296
|
| Posted: Tue Mar 14, 2006 12:59 pm Post subject: |
|
|
Spostato da Forum italiano (Italian) a Forum di discussione italiano.
_________________
minimalblue.com | secgroup.github.io/ |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Tue Mar 14, 2006 2:35 pm Post subject: |
|
|
Una possibile soluzione sarebbe usare knock per poter tenere la porta chiusa finchè non "bussi", in questo modo potresti anche tenerti la porta 22.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
ThorOdino
Tux's lil' helper
Joined: 14 Mar 2006
Posts: 103
|
| Posted: Tue Mar 14, 2006 3:11 pm Post subject: |
|
|
| Kernel78 wrote: | | Una possibile soluzione sarebbe usare knock per poter tenere la porta chiusa finchè non "bussi", in questo modo potresti anche tenerti la porta 22. |
Ho pensato a knock. ma ricordo una risposta a una domanda del genere di moltoooo tempo fà, che ho cercato con google, senza trovarla.
Se non ricordo male c'era qualcosa da modificare nei file sorgenti e poi andava ricompilato. Ma non ritrovando il post non nè sono sicuro. |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Tue Mar 14, 2006 3:15 pm Post subject: |
|
|
| ThorOdino wrote: | Ho pensato a knock. ma ricordo una risposta a una domanda del genere di moltoooo tempo fà, che ho cercato con google, senza trovarla.
Se non ricordo male c'era qualcosa da modificare nei file sorgenti e poi andava ricompilato. Ma non ritrovando il post non nè sono sicuro. |
Non mi risulta... io non posso usarlo perchè mi collego da dietro un proxy con regole molto rigide e quindi non posso bussare su varie porte ma a quanto mi risulta basta installarlo e configurarlo per le varie bussate.
Mi pare che ci fosse qualcosa a riguardo anche nel wiki ma non mi ricordo se era quello italiano o quello inglese...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Tue Mar 14, 2006 3:36 pm Post subject: |
|
|
| Kernel78 wrote: | | Una possibile soluzione sarebbe usare knock per poter tenere la porta chiusa finchè non "bussi", in questo modo potresti anche tenerti la porta 22. |
anche questa soluzione, comunque, diventa superflua nel momento in cui si autorizza il login solo tramite chiave.
così facendo il servizio risponde (positivamente) solo a chi è in possesso di una chiave privata autorizzata, ed appare (praticamente) chiuso a tutti gli altri.
@ThorOdino:
credimi, la sluzione che hai adottato è già più che sufficiente, in quanto a sicurezza |
|
| Back to top |
|
|
Luca89
Advocate
Joined: 27 Apr 2005
Posts: 2107
Location: Agrigento (Italy)
|
| Posted: Tue Mar 14, 2006 7:11 pm Post subject: |
|
|
Come ulteriore sicurezza potresti consentire il login via ssh al solo tuo utente tramite il parametro "Allowuser". Inoltre una volta avevo letto che per disabilitare completamente il login via user e password bisognava disabilitare anche il supporto a pam con "usepam no" nel file di configurazione del demone sshd.
_________________
Running Fast! |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
