From: xf0r3m Date: Mon, 28 Aug 2023 12:13:40 +0000 (+0200) Subject: Tworzenie rozdziału 10. Zakończenie tworzenia podrozdziału 10.3. X-Git-Url: https://gitweb.morketsmerke.org/?a=commitdiff_plain;h=97b3e97c81c30e4b6508fe54a4f8a98d42e0eefa;p=mmdev.git Tworzenie rozdziału 10. Zakończenie tworzenia podrozdziału 10.3. --- diff --git a/articles/terminallog/Linux.Podstawy.html b/articles/terminallog/Linux.Podstawy.html index ffa9875..596ac6a 100644 --- a/articles/terminallog/Linux.Podstawy.html +++ b/articles/terminallog/Linux.Podstawy.html @@ -8621,8 +8621,131 @@ backend = systemd tej opcji jest wskazaniem pliku w katalogu /etc/fail2ban/action.d. W tym pliku możemy zobaczyć jak na podstawie wykonywanych przez fail2ban czynności układane są - reguły iptables. + reguły iptables. Sekcja + [DEFAULT] zawiera podsekcje + dedykowane dla konkretnych usług. W naszym przypadku jest to demon + SSH. W sekcji usługi znajdują się opcje definujące kryteria dotyczące + blokowania dostępu podczas nadużycia. Zatem kolejno:

+ +

+ Tyle informacji wystarczy demonowi fail2ban do monitorowania + i także przeciw działania próbą uzyskania dostępu do powłoki. Jeśli + zmieniamy coś w plikach konfiguracyjnych to wówczas należy pamiętać + o restartcie usługi. Po zastosowaniu tego rozwiązania będzie + zauważymy znaczny spadek nieudanych prób logowania. Każdy ma 3 próby + jeśli wszystkie się nie powiodą adres IP, z którego nasz świadek + jehowy puka zostanie zbanowany na 30 minut. Pozostaje również + możliwość logowania się za pomocą hasła. +

+

+ Nie ma metody, która jednoznacznie rozprawiwła by się z próbami + uzyskania dostępu do SSH. Można za pomocą informacji w internecie + ustawić czas blokady na stałe lub zwiększać go jeśli trafi się + naprawdę natrętny osobnik, albo odciąć osiągalność demona SSH z + internetu i wymagać do tego połączeń VPN. +

+

10.3.4. Pozostałe metody użycia SSH

+

+ Najpopularniejsza implementacj protokołu bezpiecznej powłoki, to + nie tylko jakby sama nazwa wskazywała dostęp do powłoki systemu w + bezpieczny sposób, ale także bezpieczne przesyłanie plików takich + jak plików za pomocą SSH. +

+

+ Pierwszym z nich jest SCP, który tak jakby zwykłym + poleceniem cp, ale przesyłającym plik za pomocą szyfrowanago + kanału i rozszerzającym scieżki o dowolne Uniksy w internecie. + Istotnym czynnikiem korzystania z SCP jest fakt, że musimy niestety + znać zdalną ściezke dostępu do pliku. +

+
+xf0r3m@immudex:~$ scp test.txt user@server:/usr/share/doc/test/test.txt
+
+

+ Wraz z SCP dostępne jest bardziej interaktywne polecenie, które jest + też protokołem - SFTP. W informatyce jest wiele jest + rozwiązań tego skrótu nas będzie interesować wyłącznie + SSH File Transfer Protocol. Połaczenie SFTP realizowane jest + na takiej same zasadzie jak SSH. Podajemy nazwę polecenia użytkownika + oraz host, po jego zgłoszeniu się podajemy hasło. Wówczas zostaniem + na zwrócony prompt sftp>. +

+
+xf0r3m@vm-3eb3a0e:~$ sftp -P 2022 xf0r3m@192.168.122.76 
+xf0r3m@192.168.122.76's password: 
+Connected to 192.168.122.76
+sftp>
+
+

+ Na powyższym przykładzie użyłem opcji + -P, która w przypadku SCP (to + polecenie formalnie korzysta SFTP) oraz SFTP służą do określania + portu. Opcja -p, służy do zachowania praw własności + przesyłanych plików. Bywa to czasami bardzo irytujące. +

+

+ Po zwróceniu znaku zachęty do dyspozycji mamym dostęp do części + podstawowych poleceń takich jak: ls, cd, mkdir. + Dodatkowo te wymienione i kilka dodatkowych mają swój lokalny + odpowiednik poprzedzony literą l za pomocą tych + poleceń możemy poruszać się po lokalnym systemie plików, bez + przerywania połączenia na potrzeby zmiany katalogu. +

+

+ Wymiana danych w przypadku polecenia SFTP, odbywa się poprzez + polecenia get (pobierz) lub put + (wyślij), każde z tych poleceń zawiera opcję -r lub + -R, co oznacza rekurencję. Niektóre implementacje tego + protokołu wymagają, aby katalog istniał przed rekurencyjnym + przesłaniem danych. Inne dostępne polecenia są opisane na stronie + podręcznika: man sftp. +

+

+ Poza bezpieczym przesyłaniem plików pozostało jeszcze umieszczenie + innego połączenia sieciowego wewnątrz połączenia SSH. Takie + działanie nazywane jest tunelowaniem. Połączenie + pierwotne pozwala na przenoszenie wewnątrz swoich pakietów danych + wewnątrz innego połączenia. Mozliwości tuneli tworzonych za pomocą + SSH + w implementacji openssh znajdują się w innym moim materiale: + Laboratorium sieci VPN. + Dodam tylko, że połaczenie SSH jest dość wrażliwe (jak każde + zapewniające jakiś standard bezpieczeństwa) na jakość połączenia + jeśli połączenie jest niewykorzystywane może zostać łatwo zerwane. + Należy mieć na uwadze, że tunele SSH otwierają sesje powłoki, więc + musimy posiadać dostęp do użytkownika, który może uruchomić dowolną + powłokę, może być to równiez program, który będzie działać po + zalogowaniu do momentu zakończenia połączenia, jeśli jest to zwykła + powłoka np. BASH, to wówczas trzeba pomyśleć o prostym skrypcie, + którego zadaniem będzie nieskończone przesyłanie danych wypisywanie + czegoś w połowce (Pisanie skryptów powłoki, nie będzie obowiąkowym + rodziałem tego materiału, dlatego umieszczę go na samym końcu. Jeśli + chcemy możemy przejść do niego nawet teraz po skończeniu tego + podrozdziału) lub użycie programu tmux, który jest + multiplekserem terminala dodatkowo pozwala na podtrzymania połączenia + SSH. +

+

10.4. Demony internetowe - inetd, xinetd

2022; COPYLEFT; ALL RIGHTS REVERSED;