Re: iptables mac
On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote:
> > mac меняется легко.
> Ну не как способ защиты, а идея была например разрешить коннект к SSH
> только с перечисленных MAC. Идея была примерно такая.
В ssh для этой цели предусмотрены криптографические ключи хостов.
Вот криптографический ключ это вещь, которая достаточно надежно
идентифицирует сторону соединения.
Оно, конечно, проверяется несколько позже чем в момент коннекта.
Но поскольку огромное количество людей этим пользуется, даже если в
обработке хендшейка в какой-нибудь популярной реа SSH появится дырка,
позволяющая получить доступ к хосту до предоставления ключа, её заткнут
в момент.
В общем, надо просто отключить парольную и PAM-овскую реализацию в ssh и
не заморачиваться ни с каким port knoking.
Reply to: