Devo controllare un pc fisso a distanza. Ho installato slackware aggiornata alla current. Il computer è collegato ad internet tramite un router (netgear dg834it) con firewall. Un rudimentale settaggio di iptables proteggerà ulteriormente il pc.

Avevo pensato di utilizzare ssh.

Per evitare che qualcuno si diverta a bucarmi, dovendo comunque tenere aperta, almeno sul router, la porta relativa, cosa mi conviene fare?

In particolare volevo suggerimenti riguardo eventuali utenti da creare appositamente con permessi limitati.

Se dovessi intervenire per modificare ad esempio la priorità di un processo, o cose in generale che in locale si fanno tranquillamente da root, in questo caso cosa mi conviene fare?

Non è necessario un sistema di sicurezza paranoico, ma che almeno difenda dal rischio di tenere un pc senza controllo diretto (sia in locale che in remoto) per molte ore con una porta ssh in qualche modo aperta.

P.S. dimenticavo, non posso lanciare X per esigenze di prestazioni.

Grazie.

http://www.eprometeus.com/testi/41d0659c0e01b/Linux/Linux/Proteggere_la_vostra_SSH.html
dai un occhiata a questo.
ti consiglio cmq di negare l'accesso ssh all'utente root, conviene loggarsi come utente e poi passare a root per aumentare la sicurezza.
e in fine di spostare la porta di ascolto dalla 22... i tentativi di brute force sulla 22 sono molto frequenti.
ciao

http://www.eprometeus.com/testi/41d0659c0e01b/Linux/Linux/Proteggere_la_vostra_SSH.html
dai un occhiata a questo.
ti consiglio cmq di negare l'accesso ssh all'utente root, conviene loggarsi come utente e poi passare a root per aumentare la sicurezza.
e in fine di spostare la porta di ascolto dalla 22... i tentativi di brute force sulla 22 sono molto frequenti.
ciao

Grazie. Seguirò sicuramente gli ultimi consigli, ma sinceramente il link non mi convince appieno. Praticamente andrei ad aprire un'altra potenziale falla, tra l'altro anch'essa soggetta ad attacchi. Inoltre non ho un web server attivo su quel pc.

prova a dare un occhio al mio howto (nella firma)

Ciao

prova a dare un occhio al mio howto (nella firma)

Ciao

Ho dato una rapida occhiata e :sbav: .

Se avrò dubbi posterò.

Grazie.

Anch'io ti consiglio di cambiare la porta del demone.
Se hai un router, puoi lasciare la porta 22 nella config (così da rete locale ti logghi senza parametri), mentre imposti il NAT del router in modo che fowardi la porta xxx (che sarà visibile da internet es 2334) alla porta 22 locale.

Quando avevo ssh sulla 22 i log erano pieni di tentativi di accessi bute-force, ora zero.

Svantaggi nel cambiare porta: se devi usare ssh da una rete protetta da proxy, di solito permettono a ssh solo di accedere a un sshd sulla 22 (io ho questo problema in università, in cui posso fare un ssh solo verso la porta 22).

Ciao!

Sono riuscito a fare quello che volevo!

Ora mi rimane da sapere l'ip della macchina a cui connettermi e per chi mi volesse aiutare ancora: http://http://www.hwupgrade.it/forum/showthread.php?t=1343453

Poi ho un dubbio sul Port knocking, anche se non ho tempo per metterlo in pratica e penso neanche la necessità. Ma se per aprire una porta, ammettiamo la 1000, si deve bussare alla 1001, alla 1002 e alla 1003, sul router bisogna tenere aperte non solo la porta effettivamente utile, ma anche le altre? Ma allora sarebbe potenzialmente intuibile su quali porte bussare, essendo chiuse tutte tranne quelle quattro?

Grazie.

Sono riuscito a fare quello che volevo!

Ora mi rimane da sapere l'ip della macchina a cui connettermi e per chi mi volesse aiutare ancora: http://http://www.hwupgrade.it/forum/showthread.php?t=1343453



Ho letto, ma scusa non fai prima ad attivare un servizio dinamico di dns come, ad esempio, www.dyndns.com?

Così basta che ti ricordi l'indirizzo tipo mypc.dyndns.org e ci pensa lui ad aggiornarsi con l'ip corretto!
Io ho optato per questa soluzione, dopo averne valutata una come la tua.

Dimenticavo, è gratuito.

Ciao!

Ho letto, ma scusa non fai prima ad attivare un servizio dinamico di dns come, ad esempio, www.dyndns.com?


Esatto, dyndns rulla che è una meraviglia sul mio serverino di casa.
Per aggiornare il dns quando cambia l'ip c'è ez-ipupdate.

Ciao Gabri

Ma se per aprire una porta, ammettiamo la 1000, si deve bussare alla 1001, alla 1002 e alla 1003, sul router bisogna tenere aperte non solo la porta effettivamente utile, ma anche le altre? Ma allora sarebbe potenzialmente intuibile su quali porte bussare, essendo chiuse tutte tranne quelle quattro?

Grazie.

però questo è molto interessante a mio parere... up

Rieccomi. Grazie per le risposte.

Non ho optato per un servizio dinamico di dns principalmente perché oltre che per sapere l'ip, mi piacerebbe che mi venisse mandata una mail anche quando il pc remoto ha terminato l'esecuzione di alcuni processi.

Provvisoriamente ho risolto solo per sapere l'ip facendomi mandare le email dal router che mi invia i suoi log. Devo dire semi-paranoicamente che non mi esalta l'idea di tenere id e password nel router, però avevo pochissimo tempo per trovare una soluzione e quando non avevo altre scelte ho deciso così.


Ho trovato ostico mandare una mail vuota da riga di comando! Pensavo fosse molto più semplice. Con sendmail, che da quello che ho capito è il software che devo usare, googlando sembrava una banalità:

echo ciao | sendmail indirizzo@provider . com

ma, anche se notavo movimento smtp dai pacchetti lasciati passare da iptables, non arrivava niente; andando ad aggiungere al comando di sopra l'opzione "-v", osservavo che l'indirizzo ip che usava era localhost , nonstante avessi aggiunto in sendmail.cf il nome del server smtp della mia casella di posta!