Можете мне посоветовать на какой номер порта сменить порт подключения ssh чтобы

Брутфорсеры не домогали

На любой:)

Ну к примеру боюсь выберу такой который нужен например для Skype

То есть важен для других служб

Брутфорсеры не домогали

У меня исторически 1001

У меня исторически 1001

Спасибо сейчас так и поставлю. А то они меня замучали

скайп если что тебе скажет что не может забиндиться

Признаться, я даже не готов сказать по памяти что там значится в services под этим номером

services неполон. В nmap есть болен полный список портов

Чтоб брутфорсеры не домогали есть sshguard…

А так >49 с чем-то тысяч это диапазон из которого берутся случайные порты, оттуда точно можно брать любой

services неполон. В nmap есть болен полный список портов

мало того, ещё и системо зависим, но в общем, берёш что то из верхних и не паришся, почти весь софт там один фик умеет альтернативные

Bruteblock еще. Но это пост-фактум, праильнее port knocking, если заморачиваться. Либо просто не заморачиваться

или ipv6-only ?

Это не надолго:) по гуглу уже 20% подключений по v6

для почты и более поди, но мы же про скан ssh ;)

Так подтянутся

Хотя если они ip перебирают то конечно да, а если по dns то не спасёт

вашими словами бы... кстати, надо чтоль поднять недоарм снова

Нинаю, у нас в яндексе половина внутренних сетей давно v6 only

Ничего не пойму сменил порт в файле конфигурации, открыл доступ через новый порт в фаерволл

о, кстати, а паука то яндекс научил по v6 ходить, а то помнится только всякие буржуи по нему краулили, причём иногда весьма экзотичные, каких на v4 сроду то и не видел

Опять подключается через старый

ну а рестартануть то

ну и netstat

так весь сервер даже

?

Сейчас netstat гляну

о, кстати, а паука то яндекс научил по v6 ходить, а то помнится только всякие буржуи по нему краулили, причём иногда весьма экзотичные, каких на v4 сроду то и не видел

Вот не знаю. Если dns только aaaa отдаёт мне кажется должно работать. По умолчанию может и нет

Забыл убрать #

у меня просто где то год специально был хост ipv6-only, а потом задумал на вланы развести, что то запутался и забил, надо бы снова поднять

Получилось Спасибо добрые люди

ну а чего бы не получится :) вообще там же недавно даже вон как там его blacklist от опйнка, прям в систему притащили, вроде ж в 11 бекпортили

подогнали как раз достойную иллюстрацию ко вчерашнему https://twitter.com/GonzoHacker/status/868297389165223936 :)

А так >49 с чем-то тысяч это диапазон из которого берутся случайные порты, оттуда точно можно брать любой

если хочешь, чтобы какой-нибудь локальный пользователь угнал пароли подключающихся через ssh пользователей

Это с чего бы так?

Это с чего бы так?

с того, что любой непривелегированный пользователь может открыть сокет на этом порту и слушать весь трафик?

как будто это не очевидно

Эм, а как он запустил на этот же socket, что и живой сервер ssh свой процесс? Если у него нет рута?

Ерунда какая. Во-первых ничего он не откроет потому что sshd уже занял сокет. Во-вторых есть серверные ключи и ssh у клиентов завопит о mitm. В третьих, кто-то еще пароли использует?

Эм, а как он запустил на этот же socket, что и живой сервер ssh свой процесс? Если у него нет рута?

предварительно повалив настоящий демон через очередную уязвимость, приводящую к крэшу?

Ерунда какая. Во-первых ничего он не откроет потому что sshd уже занял сокет. Во-вторых есть серверные ключи и ssh у клиентов завопит о mitm. В третьих, кто-то еще пароли использует?

У меня цербер и пароли через него.

Звучит фантастично, но ок, разрешаю вешать на <1024

предварительно повалив настоящий демон через очередную уязвимость, приводящую к крэшу?

И что? Ты поднял другой демон с другими ключами, нормальный клиент начнет алертить что ключик не тот.

И что? Ты поднял другой демон с другими ключами, нормальный клиент начнет алертить что ключик не тот.

ключ с сервера, разумеется, тоже, придётся украсть через очередную уязвимость утечки информации

Какую? Тут или у тебя уже есть корень и всё это бла-бла уже не нужно, или его нет и начинаем придумывать себе коня в вакууме.

Какую? Тут или у тебя уже есть корень и всё это бла-бла уже не нужно, или его нет и начинаем придумывать себе коня в вакууме.

какую-нибудь вроде этой? http://www.cvedetails.com/cve/CVE-2016-10011/ для получения информации рут не нужен, это другой вектор атаки

Конечно можно, а еще попрошу судо на всякий случай. Откуда у тебя есть инструменты для этой cve? У тебя полный шелл? Есть доступ в интернет? Админ слеп и со сломанными руками?

?

Конечно можно, а еще попрошу судо на всякий случай. Откуда у тебя есть инструменты для этой cve? У тебя полный шелл? Есть доступ в интернет? Админ слеп и со сломанными руками?

какое отношение все эти вопросы имеют к очевидному описанному выше вектору атаки, которого бы не было, если бы sshd слушал на привелегированном порту?

Нет такой проблемы. Даже если он весит на не прив. Порту он мониторится так как он окно в мир. Запустить что-то вместо нормального ссх можно, но выплывет быстро. Опять же админ бывает пропустил что-то, но косвенно это вылезает еще где-нибудь.

Можете мне посоветовать на какой номер порта сменить порт подключения ssh чтобы

А port-knocking чем не устраивает?

А port-knocking чем не устраивает?

Ну я sshguard использовал

Ну к примеру боюсь выберу такой который нужен например для Skype

Из skype же убрали p2p нынче и он больше не занимает порт. А так любой, которого нет в /etc/services и /etc/protocols

Всё равно sshd стартует раньше и оно то успеет занять

Из skype же убрали p2p нынче и он больше не занимает порт. А так любой, которого нет в /etc/services и /etc/protocols

Ого посмотрю. Я пока настроил подключение на 1001 порт

Ого посмотрю. Я пока настроил подключение на 1001 порт

ура! в секте 1001-го порта уже целых два человека! Вступай и ты! Членский взнос - один сатоши.

Почему, можно и который есть в services. Наоборот, точно ясно что на нем ничего другого запускать не планируется

Тоже вариант

Помню срался с разработчиками чтобы порт от CVS освободили.

ERROR: S client not available

Помню срался с разработчиками чтобы порт от CVS освободили.

А что с carp в итоге?

Живые деньги - уникальный проект, который научит тебя делать деньги в любой точке мира и в любое время, встань на путь саморазвития вместе с нами. @live_money

Живые деньги - уникальный проект, который научит тебя делать деньги в любой точке мира и в любое время, встань на путь саморазвития вместе с нами. @live_money

кого тут ткнуть, чтобы спамера забанили?

Всё в порядке, у нах сервис MaaS (money as a service) целиком на фряхе построен и они кучу коммитов полезных делают (нет)

Можно зарепортить их попытаться

DarkNet - блог о темной стороне интеренета. @darknets

это репорт канала

а кто-нибудь ставил фряху на одноплатники: raspberry pi3, cubietruck?

я запускал на пи2

ну работало вроде

но обо не тыкал

https://wiki.freebsd.org/FreeBSD/arm

меня опыт использования интересует вики я уже почитал )

а чего там опыта, кое что работает, почти копьютер такой себе

Приветствую

Наконец то я вас нашёл!

А зачем ты нас искал?

А зачем ты нас искал?

поприветствовать, наверное

Ес)

Шифрование искаропки, что за зверь?

а кто-нибудь ставил фряху на одноплатники: raspberry pi3, cubietruck?

Я на cubieboard первом гонял. Никаких особо отличий от x86 кроме производительности

С тех пор её поддержку еще некисло допилили

Могут некоторые порты ещё не собираться, но то до чего руки дошли исправляется тривиально, хотя с монстрами типа webkit может быть сложнее

Шифрование искаропки, что за зверь?

В каком контексте?

Когда фряху ставишь

Когда фряху ставишь

GELI?

https://www.freebsd.org/doc/handbook/bsdinstall-partitioning.html 2.6.4.

https://www.freebsd.org/doc/handbook/bsdinstall-partitioning.html 2.6.4.

Спасибо)