sed -i 3d /home/user/.ssh/known_hosts
где 3 цифра в конце строки
Offending key in /home/user/.ssh/known_hosts:3
где 3 цифра в конце строки
Offending key in /home/user/.ssh/known_hosts:3
вторник, 6 мая 2014 г.
среда, 23 апреля 2014 г.
IPSEC cisco VPN restart/reload
clear crypto sa peer x.x.x.x will keep the phase 1 and rebuild phase 2, clear crypto isakmp id with the id from clear crypto sa will reset the whole tunnelсуббота, 3 августа 2013 г.
Port knocking over ICMP
Debian
icmp 113 байт (случайные данные)+8 байт (icmp заголовок)+ 20 байт (ip заголовок) ttl для пакета более 88 сек.
# Если пришёл icmp пакет длиной не 141 байт, то добавляем его ip в таблицу BLOCK для блокировки
iptables -A INPUT -p icmp --icmp-type echo-request -m length ! --length 141 -m recent --name BLOCK --set
# Если пришел icmp пакет длиной 141 байт и временем жизни более 65, то добавляем его ip в таблицу OPEN
iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 141 -m ttl --ttl-gt 65 -m recent --name OPEN --set
# Разрешаем доступ к порту SSH (22) для ip из таблицы OPEN в течении 20 секунд после добавления в таблицу
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name OPEN --rcheck --seconds 30 -j ACCEPT
# Блокируем доступ к порту SSH (22) для ip из таблицы BLOCK в течении 60 секунд после добавления в таблицу
iptables -A INPUT -p tcp --dport 22 -m recent --name BLOCK --rcheck --seconds 60 -j DROP
Проверка...
C:\Users\User>ping 192.168.2.5 -n 1 -l 113 -i 89
Обмен пакетами с 192.168.2.5 по с 113 байтами данных:
Превышен интервал ожидания для запроса.
Статистика Ping для 192.168.2.5:
Пакетов: отправлено = 1, получено = 0, потеряно = 1
(100% потерь)
**** Списки, создаваемые модулем recent из iptables не сохраняются при перезагрузке и хранятся в папке /proc/net/xt_recent/* (см. man iptables)
http://virtualpath.blogspot.ru/2011/04/iptables-mail-http.html
Mikrotik
http://habrahabr.ru/post/186488/
icmp 113 байт (случайные данные)+8 байт (icmp заголовок)+ 20 байт (ip заголовок) ttl для пакета более 88 сек.
# Если пришёл icmp пакет длиной не 141 байт, то добавляем его ip в таблицу BLOCK для блокировки
iptables -A INPUT -p icmp --icmp-type echo-request -m length ! --length 141 -m recent --name BLOCK --set
# Если пришел icmp пакет длиной 141 байт и временем жизни более 65, то добавляем его ip в таблицу OPEN
iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 141 -m ttl --ttl-gt 65 -m recent --name OPEN --set
# Разрешаем доступ к порту SSH (22) для ip из таблицы OPEN в течении 20 секунд после добавления в таблицу
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name OPEN --rcheck --seconds 30 -j ACCEPT
# Блокируем доступ к порту SSH (22) для ip из таблицы BLOCK в течении 60 секунд после добавления в таблицу
iptables -A INPUT -p tcp --dport 22 -m recent --name BLOCK --rcheck --seconds 60 -j DROP
Проверка...
C:\Users\User>ping 192.168.2.5 -n 1 -l 113 -i 89
Обмен пакетами с 192.168.2.5 по с 113 байтами данных:
Превышен интервал ожидания для запроса.
Статистика Ping для 192.168.2.5:
Пакетов: отправлено = 1, получено = 0, потеряно = 1
(100% потерь)
C:\Users\User>
**** Списки, создаваемые модулем recent из iptables не сохраняются при перезагрузке и хранятся в папке /proc/net/xt_recent/* (см. man iptables)
http://virtualpath.blogspot.ru/2011/04/iptables-mail-http.html
Mikrotik
http://habrahabr.ru/post/186488/
среда, 24 июля 2013 г.
debian syntax highlighting bash midnight commander
Все просто Ctl-s
или
отредактировать editor_syntax_highlighting=1 в файлике ~/.mc/ini
или
отредактировать editor_syntax_highlighting=1 в файлике ~/.mc/ini
среда, 26 июня 2013 г.
Quagga ospf openVPN
http://wiki.sys-adm.org.ua/net/quagga-ospf
http://www.opennet.ru/openforum/vsluhforumID10/4519.html
http://www.opennet.ru/openforum/vsluhforumID10/4519.html
ospf.conf
!
hostname web
password xxx
log file /var/log/quagga/ospfd.log
!
!
interface tun91
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun92
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
!
interface tun41
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun42
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
!
interface tun111
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun112
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
router ospf
ospf router-id 10.10.0.80
redistribute connected route-map Local_Network
network 10.10.9.1/30 area 0.0.0.0
network 10.11.9.1/30 area 0.0.0.0
network 10.10.4.1/30 area 0.0.0.0
network 10.11.4.1/30 area 0.0.0.0
network 10.10.11.1/30 area 0.0.0.0
network 10.11.11.1/30 area 0.0.0.0
area 0.0.0.0 authentication message-digest
!
ip prefix-list Local_Network seq 10 permit 10.1.1.0/24
ip prefix-list Local_Network seq 100 deny any
!
route-map Local_Network permit 10
match ip address prefix-list Local_Network
!
line vty
!
hostname web
password xxx
log file /var/log/quagga/ospfd.log
!
!
interface tun91
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun92
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
!
interface tun41
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun42
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
!
interface tun111
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun112
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
router ospf
ospf router-id 10.10.0.80
redistribute connected route-map Local_Network
network 10.10.9.1/30 area 0.0.0.0
network 10.11.9.1/30 area 0.0.0.0
network 10.10.4.1/30 area 0.0.0.0
network 10.11.4.1/30 area 0.0.0.0
network 10.10.11.1/30 area 0.0.0.0
network 10.11.11.1/30 area 0.0.0.0
area 0.0.0.0 authentication message-digest
!
ip prefix-list Local_Network seq 10 permit 10.1.1.0/24
ip prefix-list Local_Network seq 100 deny any
!
route-map Local_Network permit 10
match ip address prefix-list Local_Network
!
line vty
!
ospf.conf на hm(id10.10.0.9):
!
hostname hm
password xxx
log file /var/log/quagga/ospfd.log
!
!
!
interface eth2
!
interface lo
!
interface tun91
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun92
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
router ospf
ospf router-id 10.10.0.9
redistribute connected route-map Local_Network
network 10.10.9.2/30 area 0.0.0.0
network 10.11.9.2/30 area 0.0.0.0
area 0.0.0.0 authentication message-digest
!
ip prefix-list Local_Network seq 10 permit 10.3.9.0/24
ip prefix-list Local_Network seq 100 deny any
!
route-map Local_Network permit 10
match ip address prefix-list Local_Network
!
line vty
!
!
hostname hm
password xxx
log file /var/log/quagga/ospfd.log
!
!
!
interface eth2
!
interface lo
!
interface tun91
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 10
!
interface tun92
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SHdJLapbQ1
ip ospf cost 20
!
router ospf
ospf router-id 10.10.0.9
redistribute connected route-map Local_Network
network 10.10.9.2/30 area 0.0.0.0
network 10.11.9.2/30 area 0.0.0.0
area 0.0.0.0 authentication message-digest
!
ip prefix-list Local_Network seq 10 permit 10.3.9.0/24
ip prefix-list Local_Network seq 100 deny any
!
route-map Local_Network permit 10
match ip address prefix-list Local_Network
!
line vty
!
четверг, 23 мая 2013 г.
Исключение пользователя из авторизации ssh через radius
Имеем радиус клиент с настройками
cat /etc/pam_radius_auth.conf
# server[:port] shared_secret timeout (s)
#127.0.0.1 secret 1
#other-server other-secret 3
192.168.54.45 Fsdfsdfffsd 3
192.168.55.44 Fsdfsdfffsd 3
Далее необходимо создать файл
touch /etc/ssh/skip.conf
добавить правила фильтрации
cat /etc/ssh/skip.conf
+ : cisco : 192.168.55.129 192.168.55.247 192.168.55.248
- : ALL : ALL
(главное не забыть про последнюю новую строку)
*** Означает что пользователя cisco c адресов 192.168.55.129 192.168.55.247 192.168.55.248 одобряем, остальных нет
Прикручиваем /etc/ssh/skip.conf в PAM sshd
cat /etc/pam.d/sshd
...
auth [success=1 default=ignore] pam_access.so accessfile=/etc/ssh/skip.conf
auth sufficient pam_radius_auth.so
*** Если пользователь соответствует правилу в /etc/ssh/skip.conf, то пропускаем одну (следующую) строку, т.е auth sufficient pam_radius_auth.so, иначе пропускается авторизация через радиус
то же самое и для параметра session, если настроено
session [success=1 default=ignore] pam_access.so accessfile=/etc/ssh/skip.conf
session sufficient pam_radius_auth.so
...
cat /etc/pam_radius_auth.conf
# server[:port] shared_secret timeout (s)
#127.0.0.1 secret 1
#other-server other-secret 3
192.168.54.45 Fsdfsdfffsd 3
192.168.55.44 Fsdfsdfffsd 3
Далее необходимо создать файл
touch /etc/ssh/skip.conf
добавить правила фильтрации
cat /etc/ssh/skip.conf
+ : cisco : 192.168.55.129 192.168.55.247 192.168.55.248
- : ALL : ALL
(главное не забыть про последнюю новую строку)
*** Означает что пользователя cisco c адресов 192.168.55.129 192.168.55.247 192.168.55.248 одобряем, остальных нет
Прикручиваем /etc/ssh/skip.conf в PAM sshd
cat /etc/pam.d/sshd
...
auth [success=1 default=ignore] pam_access.so accessfile=/etc/ssh/skip.conf
auth sufficient pam_radius_auth.so
*** Если пользователь соответствует правилу в /etc/ssh/skip.conf, то пропускаем одну (следующую) строку, т.е auth sufficient pam_radius_auth.so, иначе пропускается авторизация через радиус
то же самое и для параметра session, если настроено
session [success=1 default=ignore] pam_access.so accessfile=/etc/ssh/skip.conf
session sufficient pam_radius_auth.so
...
вторник, 21 мая 2013 г.
Подписаться на:
Сообщения (Atom)