Sunday, July 23, 2006

當sshit遇上Blogger

科技帶來犯罪!不知道從何時開始,我的FreeBSD寶寶就一直飽受ssh trials的攻擊,一開始因為偷懶不想裝firewall,就勉強用/etc/hosts.allow來擋。最近好不容易下定決心要升到6.1-STABLE,乾脆就來個大改裝吧~

使用了大家強力推薦的sshit+pf,不過我實在是太呆又太Windows了,所以誤以為只要在/usr/ports/security/sshit下portinstall,再根據安裝後的指示做些修改就搞定了... 其實... 我根本沒把pf跑起來 XD

詳細應該這樣搞,感謝Hubert大大的幫忙↓
  $ cd /usr/ports/security/sshit/
  $ sudo portinstall
    ...
  $ sudo vim /usr/local/etc/sshit.conf
    # 確定“FIREWALL_TYPE = pf”

  $ sudo vim /etc/pf.conf
    # 設定firewall, 重要點如下
    extdev=lnc0
    # lnc0是我的網卡代碼,不要照抄喔...
    table  persist
    # badhosts在sshit.conf有提到喔
    #antispoof log quick for lnc0
    # 如果是用VMWare的bridge mode,記得把這行mark起來...
    # 不然就會搞笑啦~
    pass in on $extdev proto tcp from any to $extdev port 22     flags S/SA keep state
    # 設定允許連進的port,上面這個例子是給sshd用的...

  $ sudo vim /etc/syslog.conf
    auth.info;authpriv.info     |exec /usr/local/sbin/sshit
    # 加入這行,sshit會去parse log,把壞傢伙加到badhosts去

  $ sudo /etc/rc.d/pf start
  $ sudo /etc/rc.d/syslogd restart
    # 把firewall和syslog啟動


好啦!降子就有了firewall和sshit的保護了... 不過問題來了... 因為我是使用Blogger.com的部落格系統,請它使用ftp把製作好的blog文章丟到我的機器來,我還特別開了一個帳號用了最爛的密碼給它。然而,我是使用系統的ftpd,所以也不能指定data session的port要開在哪裡,這就和firewall的設定衝突了...

若要繼續使用ftpd,就得把firewall允許的port開很多,這樣就失去了firewall的意義。正所謂“天無絕人之路”,我看到了Blogger.com提供了sftp的選項,不過哩... 再所謂“天將降大任於是人也,必先...”

『005 Unable to connect to SFTP server: Auth fail』

我一直拿到這樣的訊息在網頁端,而在主機端則是

『Did not receive identification string from 66.102.15.83』

好加在咕狗大神伸出援手,點了盞明燈,然後就work了...
原來是要在sshd_config(/etc/ssh/sshd_config)裡頭,加入這行↓

『PasswordAuthentication yes』

最後記得要把sshd重跑喔!($ /etc/rc.d/sshd restart)
Posted by at 12:10 PM
Subscribe to: Post Comments (Atom)