Нужно для предоставления доступа к CVS через инет, но так, чтобы сорцы не сперли
В общем-то вроде настроил, но на всякий случай хочу спросить - все ли правильно, нет ли каких очевидных дыр?
Конфиг - отдельный комп, на нем kubuntu 7.10 (установлен только command-line, плюс cvs и ssh). Есть пользователь-админ (сделан через группу admin, т.е. реально все равно uid не 0, работа через sudo), и несколько обычных пользователей, которые входят в группу cvs, для доступа к директории с репозитарием. В настройках sshd - оставлен только протокол версии 2, запрещен вход рутом и запрещена аутентификации по паролю пользователя - только по публичному ключу. Дальше - каждый пользователь на своем компе генерит пару ключей, публичный дает мне, я его кладу в соответствующий $HOME/.ssh на сервере.
Ну и в догонку пара вопросов - можно ли оставить админский доступ, или лучше все-таки вытереть соответствующий ключ с сервера? И имеет ли смысл при генерации ключей использовать еще и passphrase?
[Ответ]
Ладно, ну может хотя бы кто-нибудь знает, как ssh-серверу отбить желание светить свою версию каждому подключающемуся? Маны и гугль читал - пока не нашел
[Ответ]
Вот что гугль сказал мне:
Сообщение от :
To hide the ssh version string you need to edit the source code.
However, it's probably not a good idea anyway because:
(1) Many ssh clients use the verison string to work around known implementation bugs in previous versions of ssh.
(2)It doesn't really buy you anything. Most crackers try any exploits they have on every server regardless of the version returned by the daemon. In many cases it's automated anyway.
Or to put it another way:
If you're up to date with patches, you don't care whether someone knows your ssh version.
If you're not, spoofing or omitting this information won't protect you from an exploit...
Probably better to spend time working on locking down access:
Only allowing protocol 2
Disabling root login
Limiting those who can su to root
Limiting Ip's that can login by firewall (if you're not a provider)
Using John the Ripper to check for weak passwords( can be used thru PAM)
Disabling and/or removing default accounts
etc.
особо нечего добавить , разве что pam_tally
что касается ключей то пассфразы обязательны ИМХО, иначе любой кто скопировал ключ сможет его использовать.
[Ответ]
Ну, редактировать сорцы - это как-то грустно (с учетом автообновлений), ну и мнение о том, что все равно попробуют все доступные эксплоиты - интересное
Насчет списка - вроде все в той или иной форме сделано. Единственное - а что такое pam_tally?
[Ответ]
