Удаленно поле Linux доступа без IP-адреса
Сначала, брандмауэр должен быть последним шагом, который защитит сервер. Удалите все программное обеспечение и сервисы, которые не нужны, обновляют Вашу систему с последними доступными патчами безопасности и рассматривают Ваши файлы конфигурации.
Почему Вы хотите избежать iptables?
"Поскольку я - новичок", не никакое реальное оправдание. "Один щелчок все защищает" брандмауэр, не существует, и если программный продукт использует такой лозунг, его вероятное, чтобы быть просто snakeoil программным обеспечением.
Если Вы не испытаны в сетевых основах, необходимо будет изучить это для конфигурирования рабочего брандмауэра.:-)
Если Вы не хотите создавать iptable правила сами, у Вас есть две опции:
- настройте существующие сценарии, найденные в сети
- используйте инструмент GUI для создания правил сами
iptables является Вашим интерфейсом к сетевому уровню ядра. Почти каждое решение для Linux будет зависеть от него.
Вот некоторые прокомментированные сценарии/учебные руководства в качестве примера. Вы легко найдете больше с поиском Google.
Вот список инструментов GUI, которые можно использовать для создания iptable правил:
Замечательная книга о серверах Linux и безопасности "Создает Защищенные серверы с Linux" от O'Reilly.
Не становитесь нежелательными и извините за "трудные" слова, но сервер в Интернете не является игрушкой, и Вы будете нести некоторую ответственность за это.
Не возможный, извините. Программы, особенно вещи как SSH, та работа по TCP/IP не может быть взломана, чтобы говорить с MAC-адресом. Это имело бы сумасшедшее влияние стороны безопасности, если Вы могли! Не имея IP, интерфейс не примет трафик.
Ваша единственная надежда состояла бы в том, что это сделало некоторое действие по умолчанию с отказом проанализировать файл, любят выполненный dhcp и присваивают адрес по умолчанию. Если Ваш дистрибутив делает это, Вы смогли находить этот адрес путем включения tcpdump и наблюдая интерфейс, который подключает Вас к другому полю или даже наблюдения регистрируются для arp данных. Вы могли затем добавить IP к своей другой машине в той же подсети и разговоре. Однако, если машина действительно не имеет IP, Вы не можете говорить с нею.
-
1Да, я знаю, что программы на основе TIP/IP не будут работать иначе, я использовал бы telnet и не вопросы о сообщении. Я надеялся на что-то, что не полагается на стек TCP/IP. – Corin 16.06.2011, 23:56
-
2Необходимо было бы установить что-то еще заранее. Это могло быть взломано (триггер arp, который повторно выполняет dhcp демона, например), но он требует, чтобы доступ к другой стороне открыл такую дыру в системе безопасности заранее. Нет никакого способа по умолчанию получить команды в машину, не используя tcp-ip. Если, конечно, у Вас нет установки последовательной консоли. Но если бы у Вас было это, то Вы не спросили бы здесь :) – Caleb 16.06.2011, 23:59
-
3tcpdump был полезным предложением. Подтвержденный, что это определенно не имеет IP-адреса. – Corin 17.06.2011, 01:14
У Вас есть МОТ или какая-либо другая установка инструмента управления по дополнительному каналу? Вы можете получать доступ командной строки. Если Ваш инструмент OODM не поддерживает доступ командной строки, необходимо смочь, по крайней мере, вызвать перезагрузку на удаленной машине, загрузить подходящее живое изображение CD прочь сетевого ресурса через сервер PXE, соединиться с живым CD через SSH, смонтировать локальный жесткий диск и затем сделать соответствующие изменения конфигурации.
Кроме этого, я не могу думать о способе восстановить машину без физического доступа.
Возможно удаленно войти через коммутируемый доступ в модем POTS (не через PPP или TCP/IP, модем в этом случае становится большой последовательной линией), если Вам настроили все правильно. Никакое шифрование не обеспечивается через этот метод, таким образом, он должен использоваться для абсолютных чрезвычайных ситуаций только. Я понимаю, что это не помогает Вам теперь, но это - что-то для размышления об интервале будущего.
Вы могли бы стать удачливыми, если у Вас есть последовательное соединение в конце сервера. Подключите нуль-модемный кабель к ноутбуку и консоли в с Вашим любимым эмулятором терминала. Зависит, если Вы когда-либо настраивали, это в прошлом или каждом имело подключенные устройства TTY.
Мог бы работать 50/50
-
1ответов, Подключающий последовательное соединение к задней части сервера, требует физического доступа. Точка этого вопроса - то, что парень повредил его, не настраивая некоторый альтернативный доступ заранее. Существует миллион решений, мог быть реализован с физическим доступом, но за исключением отправки робота, чтобы сделать задание, это действительно не помогает OP. – Caleb 17.06.2011, 20:00
у Вас есть администратор сети на "удаленном?" Это, может работать если Вы удачный: установите dhcp сервер на "локальный один" поэтому, возможно, "удаленное" попросит IP..., если Вам повезет и "удаленные один" клиент DHCP выполнений.:)
-
1Это - хорошая идея, но было уже предложено, и парень сказал, что ей не удалось поднять что-либо полезное. Для Вашей будущей ссылочной заметки, которую можно сказать, существует ли клиент DHCP, активный путем наблюдения tcpdump или поднимания уровней журнала для трафика ARP, если Вы находитесь на другом конце провода. – Caleb 17.06.2011, 22:06