Пароль состоит из случайных символов

и его могут случайно подобрать

:)

Вариант - авторизация по ключу с отключением пароля, а также смена порта ssh и полное его закрытие для самых параноиков

Просто кто-то проходил мимо на сканере айпи

Сканят редко.

Вариант - авторизация по ключу с отключением пароля, а также смена порта ssh и полное его закрытие для самых параноиков

Смена порта не нужна, а вот ограничение доступа про белому списку адресов/сетей - необходимо

Вот прям необходимо? Ни разу не ощущал такой необходимости. Хотя админ и немного параноик

и его могут случайно подобрать

AkRdo8SM такого типа?

AkRdo8SM такого типа?

один хрен, короткий

Но запаришься перебирать

анек про "сорок тысяч обезьян" не слышали?

Вот прям необходимо? Ни разу не ощущал такой необходимости. Хотя админ и немного параноик

Бестпрактис

теоретически, транслит имеет несколько реализаций, плюс 1337-code и получаем: S0r0kTbIca40be39IH

теоретически, транслит имеет несколько реализаций, плюс 1337-code и получаем: S0r0kTbIca40be39IH

))

и фраза для человека что-то значит, запомнить легче, и длина получается охренительная (не будем вспоминать некоторые вещи, которые длинннее 8 символов просто не жрут пароль)

))

и это был только логин, а пароль - продолжение фразы

Вот у сис.админш может быть и получше

Бестпрактис

когда серверов и/или юзеров много, лучше сделать единую точку входа, у которой открыт ssh или vpn. "В жизни" такой точкой входа часто становится домашний комп админа. :) На практике есть смысл ограничивать вход, когда есть риск установки простого пароля или его компрометации, а этот риск тем больше, чем больше юзеров, особенно не являющихся админами. Или если много серверов и есть (могут быть) среди них такие, которые "не успели обновить". Если же админов один или два, а серверов немного и все они регулярно получают обновления пакетов, смотрящих в сеть, то подобные ограничения часто только мешают.

Pa4katarnp0n0\/

?

когда серверов и/или юзеров много, лучше сделать единую точку входа, у которой открыт ssh или vpn. "В жизни" такой точкой входа часто становится домашний комп админа. :) На практике есть смысл ограничивать вход, когда есть риск установки простого пароля или его компрометации, а этот риск тем больше, чем больше юзеров, особенно не являющихся админами. Или если много серверов и есть (могут быть) среди них такие, которые "не успели обновить". Если же админов один или два, а серверов немного и все они регулярно получают обновления пакетов, смотрящих в сеть, то подобные ограничения часто только мешают.

Самоуверенность. Ладно, свои грабли всегда доходчивей.

Pa4katarnp0n0\/

P@4k@

Можно и так

Самоуверенность. Ладно, свои грабли всегда доходчивей.

пф. Я в разные годы админил от 15 до 60 серверов на хайлоаде (а в течение полутора лет 40к, но там политику не я задавал). И я всегда придерживался того же принципа, о котором писал: когда сервера получают регулярные обновления и юзеров там 1-2, нет больших причин закрывать на них ssh (что не отменяет потребность в аудите и мониторинге). И на протяжении почти 20 лет ни разу не было такого, чтобы кто-то подобрал пароль или иным образом проник на сервер через ssh (за исключением одного случая, когда наружу кто-то открыл дерьмо мамонта). Через криво написанное разработчиками пхп приложение спам рассылали - бывало. Но не через ssh.

в самоуверенности нет ничего плохого, когда у неё есть основания.

в самоуверенности нет ничего плохого, когда у неё есть основания.

я немножко параноик в этом смысле. SSH только из VPN/локалки и с одного-двух внешних хостов для аварийного доступа. И только ключи, никаких паролей.

про ключи соглашусь, да. Пароли сам не люблю.

а чем ключи лучше?

Спросите у гугла. Он на этот вопрос выдаст много разных ответов. Но банально тем, что они асимметричны и длинны

Спросите у гугла. Он на этот вопрос выдаст много разных ответов. Но банально тем, что они асимметричны и длинны

Были вообще случаи, когда ИРЛ вскрывали ssh с паролет больше 10 символов?

Не в курсе. Давно уже использую ключи. Это добавляет удобства при логине и активно применяется при автоматизации

3011 прокачает 100mbps pppoe + 200mbps pppoe (все с натом) + сколько mbps l2tp ipsec?

на 100 мбитах pppoe загрузка процессора в пределах погрешности.

кто что думает? сорри за оффтоп

Доброго времени. Есть RB750Gr3, на нем настроен CAPsMAN, созданы 2 конфигурации, master и slave. К нему цепляется wAP и видится как 2 интерфейса: cap1 и cap2. На slave-конфигурации (cap2) нужна дополнительно фильтрация по mac. Я сделал вот такое: /caps-man access-list add action=accept disabled=no interface=cap2 mac-address=00:XX:YY:60:68:BC \ ssid-regexp="" add action=accept disabled=no interface=cap2 mac-address=5C:3C:XX:YY:73:D0 \ ssid-regexp="" add action=accept disabled=no interface=cap2 mac-address=04:D6:XX:YY:3D:DE \ ssid-regexp="" add action=reject comment="Reject all other on private wifi" disabled=no \ interface=cap2 ssid-regexp="" И все, вроде бы, работает. Но если нажать кнопку Provision, то имена интерфейсов меняются с cap1, cap2 на cap2, cap3, при следующем нажатии - на cap3, cap4 и т.д. Соответственно, access list становится не актуальным. Подскажите, как этого избежать? Добавлять cap interface'ы руками?

версия RouterOS?

6.39.3

а нельзя индентификацию сделать не CAP а родную?

а нельзя индентификацию сделать не CAP а родную?

Т.е. на самой точке?

на капмсмане

http://prntscr.com/h4acjt

найм формат

будет отображатся как имя девайса

А там, по моему, в любом случае приписывается в конце номер. Я пробовал делать name format = prefix identity и задавать префикс, но в конце все равно появлялся номер.

нет

там прописывается имя девайса

я везде так делаю, т.к. не вижу смысла в этих cap1 и cap2

а, номер после имени. да, номер есть

но он статичен

ща проверю кнопкой провизион

номер не меняется

О, тогда это будет решение.

Спасибо

Еще интересно, а можно ли указать не один интерфейс, а список. Сейчас у меня одна точка доступа, а если их будет несколько? Делать свои правила для каждой будет неудобно.

вообще обыно разрешают кому надо, остальное запрещают

ане запрещают конкретные маки

вообще обыно разрешают кому надо, остальное запрещают

Так у меня так и есть

Просто у меня распространяется не на все cap interface'ы

Думаю, в моем случае целесообразнее было бы использовать не interface, а ssid regexp

Почему может cloudip не работать? winbox пишет could not connect

в настройках клауда все update

а через бразуер спрашивает логин пароль, но не принимает, те которые ввожу в винбоксе

Попробуй кеш почистить

Почему может cloudip не работать? winbox пишет could not connect

Порт не открыт

wat? какой там открыть нужно?

ERROR: S client not available

Винбоксовский на ване

Клауд эт дднс обычный

Ребят, подскажите, пожалуйста, best practices как сделать grey subnet to public subnet nat.

1:1?

Если host-to-host, то netmap тебе в руки.

Если со сменой последнего октета - то отдельные правила snat/dnat на каждый хост

Думаю не 1 в 1, как-то ближе к /24 в /28

Смена порта не нужна, а вот ограничение доступа про белому списку адресов/сетей - необходимо

Иногда трудновыполнимо. Особенно если нужно иметь возможность стучать на любой из микротов из любой точки мира.

Иногда трудновыполнимо. Особенно если нужно иметь возможность стучать на любой из микротов из любой точки мира.

из любой точки мира подключаешься ВПНом на один из двух CHR в VPS в двух разных странах. И попадаешь на нужный микротик с разрешённого хоста.

Два VPS в разных странах - для redundancy

Если нерационально - то просто подключаешься на один микротик в VPN и оттуда гуляешь по остальным, он у них в белом списке

Но никаких открытых в мир SSH.

0day-дырки бывают у всех

обычно спасает смена порта у ssh

порт где-то от 10000 и fail2ban

portknock как-то организовывал

иногда, да, только за VPN

иногда ключи

Я гуишник. Винбоксом бегаю. Про VPN не готов сказать, не помню, но в прошлом году у меня случился именно на этой почве какой-то факап, когда что-то сломалось, VPN меня не впустил и пришлось из командировки чесать на ближайший филиал, включаться в сеть и перенастраивать. С тех пор user!=admin + strongpassw in winbox спасают отца русской демократии.

no root

и опять же смотря какой функционал у сервера...

no root

Ноу рут + левый порт и даже никто не долбится

иногда проще сервак с образа перезалить...

предварительно поправив образ

и никакого ыыр ))

Ноу рут + левый порт и даже никто не долбится

+1

Ребят, подскажите, пожалуйста, best practices как сделать grey subnet to public subnet nat.

/ip firewall nat add action=src-nat chain=srcnat out-interface=ether1 to-addresses=1.1.1.0/30 Вот так неплохо завелось.

0day-дырки бывают у всех

у впн тоже бывают.

у впн тоже бывают.

конечно. но попадание в впн != попадание в админ-интерфейс маршрутизатора, нет?

дырки разные бывают ;)

бывают и RCE

ssh в плане отсутствия дырок я доверяю значительно больше, нежели всяким l2tp/ipsec (или тем паче без оного), openvpn или боже упаси sstp