Доброго времени суток.На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):
PermitRootLogin no
StrictModes yesRSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/authorized_keysRhostsRSAAuthentication no
HostbasedAuthentication noIgnoreUserKnownHosts yes
IgnoreRhosts yesPasswordAuthentication no
PermitEmptyPasswords noChallengeResponseAuthentication no
UsePAM no
Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с другого компа, выкидывает сразу после ввода логина. Все верно.Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса фильтровать, но при соединении с DIAL-UP он может быть любым (из диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, а потом проходила аутентификация уже пользователя.
Спасибо.
>Доброго времени суток.
>
>На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):
>
>PermitRootLogin no
>StrictModes yes
>
>RSAAuthentication no
>PubkeyAuthentication yes
>AuthorizedKeysFile /etc/ssh/authorized_keys
>
>RhostsRSAAuthentication no
>HostbasedAuthentication no
>
>IgnoreUserKnownHosts yes
>IgnoreRhosts yes
>
>PasswordAuthentication no
>PermitEmptyPasswords no
>
>ChallengeResponseAuthentication no
>UsePAM no
>
>
>Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с
>другого компа, выкидывает сразу после ввода логина. Все верно.
>
>Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса
>фильтровать, но при соединении с DIAL-UP он может быть любым (из
>диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно
>с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста,
>а потом проходила аутентификация уже пользователя.
>
>Спасибо.Еще можно все пакеты перед передачей к sshd передавать админу на мыло, чтобы тот их проверял на легитимность :)
А вообще, если авторизация только по Pubkey да еще и длинна ключа >=4096, то можно смело
PermitRootLogin yes
Ну и доступ по маске сетки на файрволе никто не отменял, хотя кто знает с какого места еще зайти придется :)
>Доброго времени суток.
>
>На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config):
>
>PermitRootLogin no
>StrictModes yes
>
>RSAAuthentication no
>PubkeyAuthentication yes
>AuthorizedKeysFile /etc/ssh/authorized_keysбр-р-ррр ----------------^^^^^^^^^^^^^^^^^^^^^^^^- это зачем это для всех публичных
ключей один СИСТЕМНЫЙ файл? Хотя лично я могу понять смысл>RhostsRSAAuthentication no
>HostbasedAuthentication no
>
>IgnoreUserKnownHosts yes
>IgnoreRhosts yes
>
>PasswordAuthentication no
>PermitEmptyPasswords no
>
>ChallengeResponseAuthentication no
>UsePAM no
>
>
>Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с
>другого компа, выкидывает сразу после ввода логина. Все верно.
>
>Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса
>фильтровать, но при соединении с DIAL-UP он может быть любым (из
>диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно
>с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста,
>а потом проходила аутентификация уже пользователя.
>
>Спасибо.собственно ответ - почитайте факи и руководства, плюс документацию - многое проясняет