Акция!  Домен 34 грн, домен 55 грн, домен  - 200 грн домен  - 65 грн, домен  - 99 грн, домен  - 56 грн!, домен  - 425 грн!
Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • RUB
  • USD
  • EUR
  • UAH
Чат техподдержки
Вы являетесь клиентом?
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Пожелания и предложения. Убрать ограничение по IP для SSH. Реализовать раздел Безопасность SSH по аналогии с Безопасность FTP

Форумы Пожелания и предложения Убрать ограничение по IP для SSH. Реализовать раздел Безопасность SSH по аналогии с Безопасность FTP
tanyamfaya
1 год
хостинг: есть
домен: есть
Убрать ограничение по IP для SSH. Реализовать раздел Безопасность SSH по аналогии с Безопасность FTP
Всем привет. Многие люди работают удаленно, и разных мест: дома, кафе, коворкингов, да даже на улице под деревом. И каждый раз заходить на хостинг и добавлять IP в раздел SSH вообще не удобно.
Например, дома мы добавили IP, и через час уже поехали в коворкинг, например каждый день в разный и без статического IP. Приезжаем и опять проходим круги ада с авторизацией, переходом в нужный домен и добавлением IP. Не хотелось бы тратить время на то что можно б было сделать 1 раз, как в разделе Безопасность FTP.

Предлагаю такой же раздел реализовать и для SSH с возможностью отключения проверки на IP
Илья
1 год
хостинг: есть
домен: есть
Предлагаю такой же раздел реализовать и для SSH с возможностью отключения проверки на IP © tanyamfaya

Фактически вы предлагаете отключить firewall на сервере, этого делать нельзя.
tanyamfaya
1 год
хостинг: есть
домен: есть
Для VPS такой проблемы нет. То есть о никакой безопастности никто не говорит. Почему не предоставить такую возможность и для обычного хостинга? Пользователь мог бы сам решать что ему с этим делать. Удобство пользования сервисом, или безопасность.
Илья
1 год
хостинг: есть
домен: есть
2
Для VPS такой проблемы нет © tanyamfaya

На VPS если на Вас будет атака, то пострадает только Ваша изолированная машина с Вашим сайтам, как говориться "сам себе проблему сделал", а на виртуальном хостинге могут пострадать и другие клиенты, за безопасность которых отвечает хостер.
tanyamfaya
1 год
хостинг: есть
домен: есть
1
Тогда что Вы скажите по поводу внедрения ssh ключей. По примеру того же github
Создали ключи, публичный залил в аккаунт, а приватный у себя держим. И безопасно и тем кому нужно это будет удобно
Илья
1 год
хостинг: есть
домен: есть
Создали ключи, публичный залил в аккаунт, а приватный у себя держим. И безопасно и тем кому нужно это будет удобно © tanyamfaya

Вы можете уже сейчас это сделать, все как в инструкциях в интернете. Многие пользователи работают по такой схеме.
Она решает вопрос ввода пароля, но не решает вопроса ограничения по IP
tanyamfaya
1 год
хостинг: есть
домен: есть
Если не секрет, то о какой атаке на SSH, кроме как брутфорса идёт речь?
Илья
1 год
хостинг: есть
домен: есть
Если рассматривать атаки на SSH, то возможно это только bruteforce, но если рассматривать техники проведения разного рода атак, то открытый SSH упрощает проведение ряд атак не связанных напрямую с SSH.

Простой пример: доступ к корпоративному MySQL открыт извне, единственная атака которую можно провести на открытый MySQL - bruteforce.
Но если будет скомпрометирован сайт и произойдет утечка пароля, то при закрытом MySQL данные не будут скачаны, а при открытом - будут.
Вопрос - ограничение доступа к MySQL на firewall это защита только от bruteforce атаки или нет?
tanyamfaya
1 год
хостинг: есть
домен: есть
"то при закрытом MySQL данные не будут скачаны" - они будут скачаны со стороны сайта. Так как сайт имеет подключение к этой БД. Разве нет?
+ ко всему если мы говорим о защите, то добавление целой подсети у ж явно не способствует этому.
Илья
1 год
хостинг: есть
домен: есть
"то при закрытом MySQL данные не будут скачаны" - они будут скачаны со стороны сайта. Так как сайт имеет подключение к этой БД. Разве нет? © tanyamfaya

Обычно уязвимости на сайтах позволяют читать данные файлов, но не писать их. Хотя уязвимости разными могут быть.
dotern
1 год
хостинг: есть
домен: есть
Нельзя убирать ограничения подобного рода. В вашем случае следует пользоваться VPN, при чем платным с личным айпи, который будет статическим и не будет меняться в зависимости от того, к какой сети вы подключены.
sergej.freelancer02
1 год
хостинг: нет
домен: есть
Вы тут пишете про уязвимости системы в целом.... Вы сами ее провоцируете. Что легче взломать ssh с ключами или домашний (офисный) wifi и получить доступ ко всему вообще перехватив несколько пакетов? Юзеры ведь выполряют разные комманды на сервере и им все равно по какой причине не работает ssh. Именно по это й причине проще добавить всю подсеть. А на своем примере скажу, что у меня 5 устройств и все с динамическим ip (именно из соображений безопасности, добавляем сюда диапазоны прокси и радиус изменения адресов и получаем. Чтобы авторизовать 1 устройство без гемора мне нужно добавить 180!!!!!!!! Подсетей и это без прокси еще. Дальше считать нет смысла. А что дальше? Дальше грабер, который получает доступ к моей локалке спокойно заходит и делает все, что угодно т. К. Добавлено дохрена адресов из диапазонов. В чистом итоге имеем, что защита стоит от простых смертных, которые даже не слышали о простых вещах. Например, sql инъекциях. Так, кого вы там защищаете?

Поставьте, хотябы user ssh без ip, a root пусть отдыхает. Лучше так, чем иначе, а я паралельно буду искать замену хостеру.
Удачи
toxi
1 год
хостинг: есть
домен: есть
1
у меня 5 устройств и все с динамическим ip © sergej.freelancer02

Как вариант: настроить на роутере VPN + статический внешний IP и подключаться через VPN с устройств, с которых Вам нужно использовать SSH.
Проблема небольшая, да есть, нужно дополнительно устанавливать VPN соединение и пускать трафик через VPN. Но если VPN используется на ПК, то там вообще не составит труда один раз настроить VPN, прописать маршруты к серверу, где находится сайт и пользоваться без проблем.

Я сейчас такую схему использую. У меня дома белый постоянный IP адрес и все сервера, которые я обслуживаю, доступа к ним ограничены по IP адресу домашнего роутера. Проблем не вижу.
Плюс сервера друг друга видят, чтобы в случае чего, я мог зайти на сервер через резервный IP адрес и попасть на любой другой нужный мне сервер.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.