Bezpečný přístup na veřejnou IP přes SSH

Re:Bezpečný přístup na veřejnou IP přes SSH
« Odpověď #30 kdy: 13. 04. 2019, 09:53:00 »
Proc se branim VPN ?
- SSH je nastaveni take na par minut a nevim o zadne bezpecnostni slabine proti VPN
- vzdy se potrebuju pripojit 1:1 z cehokoliv (PC, tablet, mobil) na jeden jediny server a jen do konzole, na to mi VPN prijde proste zbytecne
- pro provoz VPN je vhodne mit oddeleny stroj na CA
- ze vsech variant mi pripada jako rozumna volba jen OpenVPN, mikrotik ho nezvlada a na iOS jsem taky nic nenasel
- uz mnohokrat jsem se potkal s nastavenim (hotely, verejne hotspoty,..) kde projde jen 80 a 443

..tedy se zeptam co by mi pres uvedene prineslo VPN za vyhody navic...
-Pokial chces cisto len ssh pristup, tak OK. Pouzi SSH. ci uz s port knockingom, alebo aj na roznom inom vysokom porte (prip.  spominsl, ze hotely a spol maju vsetko blokovane okrem 80 a 443, tak pouzi 443) a samozrejme prihlasovanie klucom.
-Preco by si chcel mat oddelene CA zo stroja na ktorom sa podpisuje ? Ked pises, ze stroj neni vobec vystaveny do netu a predpokladam ze do /etc/openvpn ma pristup len root
-Pokial viem tam MK openvpn vie (iOS neviem nepoznam)


Vilith

  • *****
  • 662
    • Zobrazit profil
Re:Bezpečný přístup na veřejnou IP přes SSH
« Odpověď #31 kdy: 13. 04. 2019, 10:29:04 »
Miktorik OpenVPN umi, ale jen na TCP

Re:Bezpečný přístup na veřejnou IP přes SSH
« Odpověď #32 kdy: 13. 04. 2019, 15:05:59 »
Inak podotazocka (OT)
Ja som prevadzkoval OpenVPN na x86_64 ako server a asi pred 4-5 rokmi sa mi stalo, ze klienti sa nevedeli na server pripojit. Resp. vedeli sa pripojit, ale po 3-5-10 minutach nabehlo spojenie. Ked bolo spojenie vytvorene, tak fungovalo vsetko normalne. Googlil som a nic som nevygooglil. Teda vygooglil som ze mam zmenit udp na tcp a ked som to zmenil, tak klienti sa vedeli zase pripojit bez problemov.
Od vtedy pouzivam TCP a neni problem.
Myslim, ze este mam niekde ulozene logy zo servera aj klienta, ale uz sa k tomu nechcem vraciat

Re:Bezpečný přístup na veřejnou IP přes SSH
« Odpověď #33 kdy: 13. 04. 2019, 23:01:00 »
autorizace i pomocí hesla
K čemu je to dobré? Kdy nastane případ, že znáte heslo, jste ochoten jej použít a nemůžete použít klíč?

Jsou případy, kdy se to "hodí". Třeba v případě, že se jednou za čas potřebuji přihlásit ze serveru zákazníka na náš server.

Doporučuji použít s Fail2Ban.
Já to nedoporučuji. Nevidím v tom žádný přínos, naopak je riziko, že tím zablokujete sám sebe. Osobně mi připadá zvrácený už samotný fakt, že se parsují nestrukturované logy a na základě toho se provádějí bezpečnostně citlivé operace navíc pod rootem. To ještě nikdo nezkusil udělat Fail2Ban injection?

Zablokovat sám se mi spíš povede při konfiguraci firewallu :-) Musím zaklepat, ale ještě nikdy jsem neřešil problém s tím, že by to někdo překonal.