Брутфорс пароля ssh

[toor]

Давно искал подобный скрипт, для управления радио непосредственно с сервера. При просмотре демо, радости не было предела ))), реализовано именно то что нужно!

Но вот при установке.
ssh на стандартном порту с разрешенным root, без возможности входа по ключам - это извините, даже не уязвимость, а ДЫРИЩЕ!
Даже не смотря на длинный и сложный пароль, на достаточно производительном сервере с выделенным каналом уже через полгода засядет пара руткитов. Защита от брутфорса тут не 100% панацея.

Получается дилемма: с одной стороны - скрипт полностью устраивает и нравиться, с радостью взял бы коммерческую версию, но с другой стороны - я никогда не поставлю подобные настройки ssh на продакшн сервере.

Соответственно вопрос:
Для чего конкретно используется root в ssh?
icecast и ezstream могут работать под любыми пользователями, так же читаться/писаться файлы конфигов и плейлистов.

Можно увидеть список выполняемых команд, дабы не ковырять весь код?
Сильно сомневаюсь что есть хоть одно действие выполнить которое возможно исключительно под root'ом

[MSK]

Есть у автора комментарии по этому вопросу?

[admin]

Цитата:

Сообщение от MSK

Есть у автора комментарии по этому вопросу?

Пожалуйста:

Цитата:

Сообщение от toor

ssh на стандартном порту с разрешенным root, без возможности входа по ключам - это извините, даже не уязвимость, а ДЫРИЩЕ!
Даже не смотря на длинный и сложный пароль, на достаточно производительном сервере с выделенным каналом уже через полгода засядет пара руткитов. Защита от брутфорса тут не 100% панацея.

Если уж у вас такой важный сайт что вы боитесь что ваш пароль ssh подберут, то рекомендую следующее:
1) Устанавливать сложный пароль состоящий из букв разного регистра и цифр.
2) Закрыть порт ssh через фаервалл для всех кроме себя и сервера.
3) Менять время от времени пароль ssh.

Плюс ко всему я пару раз видел что некоторые меняли порт ssh в файлах RadioCMS. Список файлов в которых необходимо поменять порт я приводил здесь - http://radiocms.ru/forum/showpost.ph...5&postcount=58

[toor]

1 бесполезно.
2 на клиенте нужен статичный ип, наши провайдеры не предоставляют.
3 бесполезно.

Вот все таки в чем такая проблема отвязать от рута?

За ссылочку спасибо, воспользуюсь. Плюс сделаю отдельную виртуалку, туда поставлю и разрешу доступ только с сервака на котором виртуалка, он то защищен достаточно.

Но это у меня есть отдельная физическая машина, а как быть тем кто на VDS/VPS.
Ведь если вскроют сервак с радио, могут не только просто побаловаться, но и пустить в эфир запрещенные законом вещи, например чтобы скомпрометировать владельца.

[Kanda]

Цитата:

Сообщение от toor

2 на клиенте нужен статичный ип, наши провайдеры не предоставляют.

Настройте VPN server и подключайтесь через него... тогда будет вам статичный ip (причём какой только пожелаете) из любого места на планете

[admin]

Цитата:

Сообщение от toor

Вот все таки в чем такая проблема отвязать от рута?

Ну принципе можете создать другого пользователя с правами root, не обязательно что бы логин был "root". Главное это права а не название.

Цитата:

Сообщение от toor

Ведь если вскроют сервак с радио, могут не только просто побаловаться, но и пустить в эфир запрещенные законом вещи, например чтобы скомпрометировать владельца.

При соблюдении элементарных правил безопасности и уж темболее когда вы сами дополнительно заботитесь о безопасности, шансы что пароль подберут равны нулю..

По поводу ип-адреса, если он не статичный, то можно закрыть всё кроме диапазона ип-адресов вашего провайдера.

[toor]

Цитата:

Сообщение от Kanda

Настройте VPN server и подключайтесь через него... тогда будет вам статичный ip (причём какой только пожелаете) из любого места на планете

Именно про это у меня в том же сообщении, чуть ниже и написанно.

Вообщем по защите получается, в текущей ситуации:
1 если используется VDS/VPS - создать нового суперпользователя с нестандартным именем, перевесить SSH на нестандартный порт (и не 2222), использовать сложный пароль, поставить защиту от брутфорса.
2 если используется выделенный сервер - создать на нем виртуалку, выполнить все из п1. Плюс можно разрещить доступ только с "родительского" сервера, ну и на самом физическом сервере должны быть приняты все меры безопасности.