Доброго времени суток, Albert!
15 May 2020 20:06:56, ты -> мне:
AF>>> Подскажите как в debian 9
На всякий случай: хорошую систему дебилианом не назовут.
AF>>> сделать так чтобы белый ip не пинговался в иннете.
AV>> А смысл?
AF> Я взял белый ip для пробы так сказать. Давно хотел vnc через
AF> реверсный ssh попробовать.
И что мешает?
AF> Зачем мне лишнее внимание из иннета.
Оно в любом случае будет. И отсутствие ответа на ping (притом, что на другие
запросы твой хост прекрасно ответит) - скорее, приглашение: "здесь не умеют
настраивать серверы, можно ломать относительно спокойно".
AF> У нас татарстане один интернет провайдер tattelecom (
tattelecom.ru)
AF> держит свой сайт который не пингуется.
Не от большого ума...
Прежде, чем высовывать хост в дикий интернет, посмотри, чтобы туда не торчало
ничего лишнего - для этого существует команда `ss -tunl`.
Например, так на моем скромном домашнем сервере наружу торчат nginx и sshd:
tcp LISTEN 0 128
0.0.0.0:80 0.0.0.0:*
tcp LISTEN 0 128
0.0.0.0:22 0.0.0.0:*
tcp LISTEN 0 128 [::]:80 [::]:*
tcp LISTEN 0 128 [::]:22 [::]:*
А вот прокси для обхода роскомпозора слушает на локалхосте:
tcp LISTEN 0 128 [::1]:1080 [::]:*
Нетрудно догадаться, что по HTTP я раздаю файловую помойку - HTTPS мне не
вперся, так как адресаты вместе со ссылкой получают подписанную контрольную
сумму файла. А вот SSH - сервис критичный, поэтому его "изкоробочные" дыры у
меня на всякий случай закрыты:
HostKeyAlgorithms ssh-rsa,ssh-ed25519,rsa-sha2-512,rsa-sha2-256
Ciphers blowfish-cfb,aes256-cfb
KexAlgorithms diffie-hellman-group-exchange-sha256,
curve255...@libssh.org
MACs
hmac-sha...@openssh.com,
hmac-sha...@openssh.com
PubkeyAcceptedKeyTypes ssh-rsa,ssh-ed25519,rsa-sha2-512,rsa-sha2-256
# Да, приходится использовать уже совершеннолетнюю хеш-функцию
# еще на основе дерева Меркла...
AllowAgentForwarding yes
AllowTcpForwarding yes
GatewayPorts clientspecified
PasswordAuthentication no
PermitEmptyPasswords no
PermitRootLogin without-password
ClientAliveCountMax 4
ClientAliveInterval 30
AcceptEnv LANG LC_*
Ну а самое сильное колдунство - ограничение количества соединений в минуту:
iptables -t filter -A INPUT -i isp -p tcp --syn --dport 22 -m recent \
--update --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -i isp -p tcp --syn --dport 22 -m recent --set
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Облачных технологий не существует - существуют только чужие компутеры