1 (27.10.2014 16:53:23 отредактировано DriveR)

Добрый день!
Установил последний Debian, настроил доступ по SSL
Теперь при сканировании компьютера разными сканилками из вне, он пишет что порт 443 открыт и при этом пишет имя компа
вот так это выглядит
http://storage6.static.itmages.ru/i/14/1027/h_1414417539_4361775_07aa0282c0.jpg
Можно как то запретить отдавать имя компа и как это сделать?

2

DriveR пишет:

настроил доступ по SSL

можно поподробнее? Что за доступ?

DriveR пишет:

Можно как то запретить отдавать имя компа и как это сделать?

Закрыть доступ.
Кстати, зачем вам 25й  порт?

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

3

drBatty пишет:

можно поподробнее? Что за доступ?

На этом порту висит сервис "SoftEther VPN"

drBatty пишет:

Закрыть доступ.

Не вариант. Задача четкая

DriveR пишет:

запретить отдавать имя компа и как это сделать

drBatty пишет:

Кстати, зачем вам 25й  порт?

Это к теме не относится и на картинке я мог закрасить эту строчку, не обращайте на это внимание.

4

DriveR, почем у-бы вам  не поменять имя в  настройках? Порт-то  по  любом у  будет торчать, должен-жеж  сервер что-то  слушать? Ну  и имя хоста  тоже будет видно.

DriveR пишет:

Это к теме не относится

ну дело  ваше.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

5

а мне сдаётся, что это вообще не имя хоста, а какое-то из имён прописаных в сертификате...

95% процентов проблем находятся между клавиатурой и стулом.

6

Покажите список всех установленных пакетов и открытых портов.
Перед тем как блокировать нужно понимать откуда это информация могла парсится.
Самый простой способ получать данну юинфу через NetBios. Соответственно если сканер получил hostname через него то достаточно просто заблочить на фаерволе. Также некоторые службы могут в ответах указывать hostname в заголовках. Без доп инфы это гадание на кофейной гуще...

7

Fat-Zer пишет:

а мне сдаётся, что это вообще не имя хоста, а какое-то из имён прописаных в сертификате...

Вполне может быть...

8

Fat-Zer пишет:

а мне сдаётся, что это вообще не имя хоста, а какое-то из имён прописаных в сертификате...

согласен.

beliy пишет:

просто заблочить на фаерволе.

тогда ТС лишится доступа.
Я-бы так  и  сделал, поднял-бы  sshd, там

Banner  The contents of the specified file are sent to the remote user before authentication is
             allowed.  If the argument is “none” then no banner is displayed.  This option is only
             available for protocol version 2.  By default, no banner is displayed.

есть. И всё это на рандомный  порт  и по ключу(только). Но свою  голову другому не приставишь…

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

9

drBatty пишет:

Но свою  голову другому не приставишь

Согласен, но подсказывать новичкам тоже нужно)

И кстати вы можете блокировать сканирование портов средствами IPTABLES

http://habrahabr.ru/post/101817/

10

beliy пишет:

И кстати вы можете блокировать сканирование портов средствами IPTABLES

я в курсе. Есть ещё fail2ban, но зачем?

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

11 (28.10.2014 15:28:44 отредактировано DriveR)

Fat-Zer пишет:

а мне сдаётся, что это вообще не имя хоста, а какое-то из имён прописаных в сертификате...

Мысль понял, сейчас проверю

drBatty пишет:

Я-бы так  и  сделал, поднял-бы  sshd, там

Интересная мысль

drBatty пишет:

Но свою  голову другому не приставишь…

Мне ваша голова не нужна, своя есть, а вот по поводу sshd, да еще по рандомному порту, это интересно.
Направьте меня на какие нибудь статьи по этой теме.

beliy пишет:

И кстати вы можете блокировать сканирование портов средствами IPTABLES

Ох уж этот IPTABLES.
Я пробовал его понять, но это страшное дело, пока для меня он недоступен, буду упорно читать и вникать

12

drBatty пишет:

Есть ещё fail2ban, но зачем?

Он не защищает от сканирования портов  ab

DriveR пишет:

а вот по поводу sshd? да еще по рандомному порту

Думаю что речь шла о смене порта с 22 на другой. Но если речь идет о динамической смене порта то хотелось бы увидеть схему велосипеда)
Если уж быть совсем параноидальным то есть технологии которые отрывают порт ссш только при отправке конкретного запроса на другой порт. Но это уже параноя.
Обычно достаточно следующего - http://xakep.ru/35288/ + возможночто что типа упоминаемого fail2ban или csf

DriveR пишет:

Ох уж этот IPTABLES.
Я пробовал его понять, но это страшное дело, пока для меня он недоступен, буду упорно читать и вникать

Распечатайте схему прохождения пакетов в IPTABLES и проанализируйте по ней какойто из существующих конфигов.

13

DriveR пишет:

Мне ваша голова не нужна, своя есть, а вот по поводу sshd, да еще по рандомному порту, это интересно.
Направьте меня на какие нибудь статьи по этой теме.

для  начала
man ssh
man  sshd
man  sshd_config
man ssh_config
Вход должен быть  только по ключу (не по паролю),  на  рандомный порт, через обычного пользователя.

DriveR пишет:

Я пробовал его понять, но это страшное дело, пока для меня он недоступен, буду упорно читать и вникать

читайте. Там не слишком сложно на самом  деле.

beliy пишет:

Он не защищает от сканирования портов

почему нет?

beliy пишет:

Но если речь идет о динамической смене порта

зачем? Просто порт надо сменить, что-бы боты не долбились.

beliy пишет:

Если уж быть совсем параноидальным то есть технологии которые отрывают порт ссш только при отправке конкретного запроса на другой порт. Но это уже параноя.

зачем?

beliy пишет:

Обычно достаточно следующего - http://xakep.ru/35288/

источник  не слишком уважаемый ИМХО (по ссылке не ходил).

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

14

drBatty пишет:

почему нет?

Хорошо, наведите пример конфига fail2ban который будет блокировать скан портов.
Его сильные стороны таки в другом...

drBatty пишет:

зачем? Просто порт надо сменить, что-бы боты не долбились.

Я так и объяснял.

drBatty пишет:

зачем?

Безопасность, но имхо для обычных проектов - это избыточно. Писал об этом.

drBatty пишет:

источник  не слишком уважаемый ИМХО (по ссылке не ходил).

Да ладно, а я то думал что это сайт известного журнала по комп безопасности  ab
Если не сложно покажите информацию об этом вопросе из более уважаемого источника;)

15

beliy пишет:

Хорошо, наведите пример конфига fail2ban который будет блокировать скан портов.
Его сильные стороны таки в другом...

а в чём? AFAIK  как раз и блочит порты  из-за  неразрешённой  нагрузки ,  например сканировавние.

beliy пишет:

Безопасность, но имхо для обычных проектов - это избыточно. Писал об этом.

ок, ок.

beliy пишет:

Да ладно, а я то думал что это сайт известного журнала по комп безопасности

он  известен своей желтизной и  ориентирован на windows™. Последнее меня не слишком волнует касательно профильных  статей,  но вот статьи про СПО там совсем унылые.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

16

drBatty пишет:

а в чём? AFAIK  как раз и блочит порты  из-за  неразрешённой  нагрузки ,  например сканировавние.

Он анализирует логи и по заданным условиям блокирует атакующие IP добавлением правила в iptables.
Сильной его стороной является защита от брутфорса.
Блокировать скан портов теоретически тоже можно, но это будет еще тот велосипед и делать такое есть смысл только из спортивного интереса. Если вы блокировали скан портов и метод был достаточно рациональным - покажите конфиг.

drBatty пишет:

он  известен своей желтизной и  ориентирован на windows™. Последнее меня не слишком волнует касательно профильных  статей,  но вот статьи про СПО там совсем унылые.

Честно говоря давно не слежу за ресурсом, но  дабы не писать свою инстукции нагуглил примерно то что по содержимому совпадает с моим мнением. Можете дискутировать/критиковать по конкретному содержимому, так как думаю ТС больше интересует конкретный полезный материал, а не ваше отношение к какому либо ресурсу.

17

beliy пишет:

Сильной его стороной является защита от брутфорса.
Блокировать скан портов теоретически тоже можно, но это будет еще тот велосипед и делать такое есть смысл только из спортивного интереса.

а зачем защищаться от брутфорса,  если вход  по паролю отключён?

beliy пишет:

Можете дискутировать/критиковать по конкретному содержимому, так как думаю ТС больше интересует конкретный полезный материал, а не ваше отношение к какому либо ресурсу.

http://emulek.ignorelist.com/forum/view … mp;t=10734
там в конце есть список  ссылок кстати.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

18

drBatty пишет:

а зачем защищаться от брутфорса,  если вход  по паролю отключён?

а зачем советовать продукт который не совсем подходит для того что вы сами же и советуете?

drBatty пишет:

http://emulek.ignorelist.com/forum/view … mp;t=10734
там в конце есть список  ссылок кстати.

Это наверное тот глубоко известный и "уважаемый" в сети ресурс, который незапятнан "желтизной" в силу своей популярности?  ab

19

beliy пишет:

а зачем советовать продукт который не совсем подходит для того что вы сами же и советуете?

чем не подходит?

beliy пишет:

Это наверное тот глубоко известный и "уважаемый" в сети ресурс, который незапятнан "желтизной" в силу своей популярности?

вы белены объелись?
Это я писал. Какие-то проблемы? Что-то не так  написал? Дык вы прямо скажите.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

20

drBatty пишет:

чем не подходит?

Ну если всем подходит то покажите рациональный пример его применения для данной задачи  ab

drBatty пишет:

Это я писал. Какие-то проблемы? Что-то не так  написал? Дык вы прямо скажите.

Незнаю, я лишь цитирую вашу фразу: "источник  не слишком уважаемый ИМХО (по ссылке не ходил)."
Так и я на ресурс не заходил но мнение высказал  ab

21

beliy пишет:

Ну если всем подходит то покажите рациональный пример его применения для данной задачи

для данной задачи само решение не подходит. Я об этом говорил. Но если уж хочется, то вот есть готовое.

beliy пишет:

Незнаю, я лишь цитирую вашу фразу: "источник  не слишком уважаемый ИМХО (по ссылке не ходил)."
Так и я на ресурс не заходил но мнение высказал

дело в том, что вы на мой ресурс не ходили, а мнение имеете.

А я на данный вами ресурс ходил неоднократно. И моё мнение сложилось из наблюдений за ресурсом, а не из желания поругаться/поспорить, как у вас.

А ссылку я дал для того, что-бы не повторяться. Я просто не помню, есть-ли здесь эта копипаста.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

22

drBatty пишет:

для данной задачи само решение не подходит. Я об этом говорил.

А кто тогда его упоминул? )

drBatty пишет:

я в курсе. Есть ещё fail2ban

drBatty пишет:

Но если уж хочется, то вот есть готовое.

где?  ab

drBatty пишет:

дело в том, что вы на мой ресурс не ходили, а мнение имеете.

Я оцениваю содержимое ссылки по его содержимому, а не по URL. А ответил так ТОЛЬКО потому что вы оценили предложенною мною ссылку по обратному принципу, соответственно вашу ссылку оценили по этому же принципу дабы вам было более наглядно видно ошибочность данного метода оценки полезности ссылки. Все просто  ab

23

beliy пишет:

А кто тогда его упоминул?

Я и  упомянул, как негодный, но рабочий  вариант. Вроди забивания  в стену гвоздей топором. Логгируем вывод iptables, и натравливаем на лог fail2ban. Это будет  работать, и будет  закрывать порты и/или IP  тех,  кто сканирует.  Но  зачем? Если можно организовать  доступ по  ssh на $RANDOM порт.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

24

beliy пишет:

Я оцениваю содержимое ссылки по его содержимому, а не по URL.

а  я уже знаю, какое там содержимое. Был я там. По конкретно  вашей ссылке не был, но статей  много  читал.

beliy пишет:

А ответил так ТОЛЬКО потому что вы оценили предложенною мною ссылку по обратному принципу, соответственно вашу ссылку оценили по этому же принципу дабы вам было более наглядно видно ошибочность данного метода оценки полезности ссылки. Все просто

если  я знаю, что там УГ, то зачем туда ещё  раз нырять?  Очередной раз расстраиваться?

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

25

Найдите противоречие:

drBatty пишет:

а  я уже знаю, какое там содержимое

и

drBatty пишет:

конкретно  вашей ссылке не был

ab

drBatty пишет:

если  я знаю, что там УГ, то зачем туда ещё  раз нырять?  Очередной раз расстраиваться?

Ну я тоже на ваш сайт заходил когда локалхост обсуждали и тоже не в восторге тогда был - все честно)

26

beliy пишет:

Найдите противоречие:

не вижу никакого противоречия.

beliy пишет:

Ну я тоже на ваш сайт заходил когда локалхост обсуждали и тоже не в восторге тогда был - все честно)

если  у вас есть  конкретная  критика, то почему вы её не высказали, а занимаетесь здесь демагогией и спором ни о чём?

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

27

drBatty пишет:

не вижу никакого противоречия.

Если вы телепат то может и нет противоречия в том что вы знаете что находится там где вы не были ab

drBatty пишет:

если  у вас есть  конкретная  критика, то почему вы её не высказали, а занимаетесь здесь демагогией и спором ни о чём?

По сайту то еще при обсуждении локалхоста я говорил о юзабилити сайта, а сейчас высказался о способе критики информации которую "не смотрел". Я сделал также и говорите что это не правильно. Согласен, так же как и вы когда критиковали информацию не видя ее... Все просто  ab

28

drBatty пишет:

Был я там.

beliy пишет:

Если вы телепат то может и нет противоречия в том что вы знаете что находится там где вы не были

хватит демагогии, был я  на этом ресурсе,  и  прочитал достаточно  статей оттуда.

beliy пишет:

По сайту то еще при обсуждении локалхоста я говорил о юзабилити сайта

и  что не так с  юзабитили? У меня там  вроде-бы обычный phpbb3.

beliy пишет:

а сейчас высказался о способе критики информации которую "не смотрел".

мимо  кассы. Смотрел я тот  ресурс, причём неоднократно.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)