Ошибка с tor в ubuntu 14.04

Вы намерены разрешить услугу SSH для всего мира? Или просто членам команды в определенных местах? Мой ответ немного зависит от серьезности вашей задачи.

В любом случае вам нужно сделать все, чтобы убедиться, что сервер SSH не разрешает вход в систему для пользователя root.

В моих системах у меня есть этот параметр

PermitRootLogin without-password

, но я замечаю в новом Ubuntu, что у них есть

PermitRootLogin prohibit-password

Если вы читаете «человек sshd_config «Я думаю, это означает, что этот новый« запрет-пароль »означает одно и то же и, безусловно, более очевидно по смыслу. Это НЕ по умолчанию для некоторых Linux-систем, но, вероятно, должно быть.

Теперь о вашей проблеме. Имеет ли ваш системный сервер только некоторые пользователи в определенных местах? Сделайте это!

Затем отредактируйте /etc/hosts.allow и введите IP-номера или диапазон, которые хотят разрешить использование SSH. Нотация там немного запутанна, потому что, если вы хотите разрешить все системы с номерами IP, такими как 111.222.65.101 - 111.222.65.255, вы помещаете такую ​​запись в hosts.allow

ALL: 127.0.0.1
sshd: 111.222.65.
sshdfwd-X11: 111.222.65.

. Это мощное решение.

Это решение существовало до создания IP-таблиц, это (я думаю), намного легче администрировать, но это не так хорошо, как IP-адрес таблиц, потому что процедуры IP-таблиц будут определять врагов раньше, чем программы, управляемые hosts.allow и hosts.deny. Но это верный огонь, простой способ закрыть множество проблем, а не только из SSH.

Обратите внимание на проблему, которую вы создаете для себя. Если вы хотите открыть FTP-сервер, веб-сервер или что-то еще, вам нужно будет сделать записи в хостах.

Вы можете достичь той же основной цели, перейдя в iptables и брандмауэр. В каком-то смысле это предпочтительное решение, потому что вы блокируете врагов на внешней границе. Ubuntu имеет «ufw» (несложный брандмауэр), а «man ufw» - множество примеров. Я бы предпочел иметь хороший графический интерфейс, чтобы пройти через это, мне не нужно делать это все время. Может быть, другие могут сказать нам, есть ли сейчас.

Еще один источник разочарования произойдет, когда некоторые пользователи накапливают разные ключи ssh для разных серверов. Поскольку у меня есть ключи SSH для примерно 12 различных проектов, теперь ssh терпит неудачу, потому что у меня слишком много открытых ключей (требуется либо «ssh -o PubkeyAuthentication = false», либо создание записи в файле .ssh / config. Это PITA)

В наших системах Centos Linux я заметил, что они отказались от пакета denyhosts и предлагают только fail2ban. Мне понравилось denyhosts, потому что он создал список проблемных диапазонов пользователей / ip, а затем в hosts.deny, этот список был отмечен. Вместо этого мы установили fail2ban, и все в порядке. Я понимаю, что вы предпочтете блокировать этих плохих пользователей на внешнем краю сервера, поэтому блокировщики на основе ip-таблиц, например fail2ban, на самом деле лучше. Denyhosts работает на вторичном уровне, после того как враги получили прошлые iptables, они затем отклоняются демоном sshd.

В обеих этих программах немного утомительно вывести пользователей из тюрьмы, если они забыли свой пароль и несколько раз попробовали войти в систему. Немного сложно вернуть людей, когда они сделать ошибки входа. Вы бы предположили, что будет графический интерфейс точки и щелчка, где вы могли бы просто указать и позволить людям вернуться, но это не так. Я должен делать это каждые несколько месяцев и забывать, как между временами, поэтому я написал инструкции для себя на моей веб-странице http://pj.freefaculty.org/blog/?p=301