Лучше установить ОТКЛОНЕНИЕ-j или ПОНИЖЕНИЕ-j iptables?
От отладки: debug2: key_type_from_name: unknown key type '-----BEGIN' похоже, что Вы имеете неправильно отформатированный authorized_keys файл.
Удаление первого (два?) строки, последняя строка (-----Конец), и любые другие разрывы строки должны решить проблему.
Файл ключей для Linux не использует тот же файл ключей в качестве многих Windows (и некоторый Linux) генераторы. PuTTY, например, запускает закрытые ключи как ---- BEGIN SSH2 PUBLIC KEY ---- но Linux ищет ssh-rsa AAAAB3NzaC1yc2E...G8HAaGz8ob6IXx3841ASs= Example@server Полная спецификация может быть найдена здесь: http://man.he.net/man5/authorized_keys
Но короткая версия: *Никакие разрывы строки
*Запускается с протокола (ssh-rsa, ssh-dsa)
*Открытый ключ
*Концы с “=” и ключевое имя
Сообщите мне, помогает ли это
Что делают три правила?
Те 3 правила кажутся довольно очевидными:
- Отклонение входящие пакеты UDP с сообщением ICMP "недостижимый порт"
- Отклонение входящие пакеты TCP с "tcp сброс"
- Отклоните входящие пакеты (любого другого протокола) с сообщением ICMP "недостижимый протокол"
При поиске большего количества детали (о пакетах UDP/TCP, ICMP), необходимо вырыть в сетевые документы, и возможно man iptables также.
Это имеет какое-либо значение, когда я поместил там ОТБРАСЫВАНИЕ, на месте ОТКЛОНЯЮТ - отклонение - с? Если да, мог кто-то объяснять различие для меня, я буду действительно ценить его.
Это имеет значение. И вопреки широко распространенному мнению, DROP не дает лучшую безопасность, чем REJECT. Это причиняет беспокойство законным пользователям, и это не эффективно никакая защита от злонамеренных. Это сообщение объясняет обоснование подробно:
http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject
Общая причина использования ОТБРАСЫВАНИЯ, а не ОТКЛОНЕНИЯ состоит в том, чтобы не выдавать информацию, о которой порты открыты, однако, отбрасывание пакетов выдает точно столько же информации сколько отклонение.
С ОТКЛОНЕНИЕМ Вы делаете свое сканирование и категоризируете результаты в "соединение установленное" и "отклоненное соединение".
С ОТБРАСЫВАНИЕМ Вы категоризируете результаты в "соединение установленное" и "приведенное к таймауту соединение".
Самый тривиальный сканер будет использовать вызов "подключения" операционной системы и будет ожидать, пока одна попытка подключения не завершается прежде, чем запуститься на следующем. Этот тип сканера будет значительно замедлен путем отбрасывания пакетов. Однако, если нападение устанавливает тайм-аут 5 попыток секунд для каждого подключения, возможно просканировать каждый зарезервированный порт (1.. 1023) на машине всего за 1,5 часа. Сканирования всегда автоматизируются, и взломщик не заботится, что результат не непосредственен.
Более сложный сканер отправит пакеты сам вместо того, чтобы полагаться на реализацию TCP операционной системы. Такие сканеры быстры, эффективны и равнодушны к выбору ОТКЛОНЕНИЯ или ОТБРАСЫВАНИЮ.
ЗАКЛЮЧЕНИЕ
ОТБРОСЬТЕ не предлагает эффективного барьера для враждебных сил, но может существенно замедлить приложения, запущенные законными пользователями. ОТБРАСЫВАНИЕ не должно обычно использоваться.
-
1@janos - Вы могли записать немного больше о том, что на самом деле происходит, когда пакет достигает каждого из трех правил? – Mikhail Morfikov 15.01.2014, 17:54
-
2@Kiwy - Прочитайте ссылку и попробуйте ее сами. ОТБРАСЫВАНИЕ не дает лучшую безопасность, чем ОТКЛОНЕНИЕ. Это причиняет беспокойство законным пользователям, и это не эффективно никакая защита от злонамеренных. Это вызвано тем, что законные пользователи страдают от медленного соединения при ожидании соединения для таймаута, и взломщики просто настраивают свои инструменты для не ожидания какое-то время. то, что соединение является медленным (из-за ожидания какое-то время) показывает, что Ваш сервер там и firewalled. – Panther 15.01.2014, 17:55
-
3я не иду с тем заключением. Отклонение генерирует ответ ICMP, который может проанализированным. На основе этого анализа хорошие механизмы нападения могут получить ОС, которая используется. Таким образом в системе, где все порты известны, отбрасывание могло бы быть лучше. Это относится к серверам в продуктивной среде. – Nils 20.01.2014, 14:16
-
4брандмауэр, что только вперед определенные порты еще лучше. ОТБРАСЫВАНИЕ ОТКЛОНЕНИЕ не является тем же как абсолютно никаким сервисом, выполняющим первое место. Много сканеров портов отмечают Ваш хост как потенциальную цель для будущих сканирований в надеждах на ловлю Вашего брандмауэра вниз, если они находят ОТКЛОНЕНИЯ или ОТБРАСЫВАНИЯ там, поскольку оба могут быть обнаружены снаружи. chiark.greenend.org.uk / ~ peterb/network/drop-vs-reject – Dagelf 16.07.2015, 16:03
-
5Обратите внимание, что заключенный в кавычки текст имеет еще один абзац, обновление, которое говорит, что DROP лучше, если у Вас есть DDos-атака, которая относительно редка, но когда это происходит, вероятно, хорошо иметь его..., что Вы думаете? – Alexis Wilke 13.11.2016, 02:54