По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
OpenSSH позволяет выполнять удаленное подключение к серверу, производить манипуляции с файлами и управлять системой. Сегодня хотим рассказать про лучшие методы, которые позволят увеличить безопасность системы на базе OpenSSH.
Конфигурационные файлы
/etc/ssh/sshd_config - файл конфигурации сервера OpenSSH;
/etc/ssh/ssh_config - файл конфигурации клиентской части OpenSSH;
~/.ssh/ - директория, в которой хранятся пользовательские SSH настройки;
~/.ssh/authorized_keys или ~/.ssh/authorized_keys - список ключей (RSA или DSA), которые используются для подключения к пользовательским аккаунтам;
/etc/nologin - если данный файл существует в системе, то sshd запретит подключаться всем пользователям кроме root в систему;
/etc/hosts.allow и /etc/hosts.deny - система запрета (часть безопасности). Работает по аналогии с ACL;
SSH порт по умолчанию - 22
Не нужен - выключай
Если вашему серверу не требуется удаленное подключение по SSH, то обязательно отключите его. В таких системах как CentOS/RHEL делается это так:
chkconfig sshd off
yum erase openssh-server
Используйте SSH второй версии
Протокол SSH первой версии имеет проблемы с безопасностью, которые закрыты во второй версии. Поэтому, используйте вторую версию. Убедитесь, что в файле /etc/ssh/sshd_config указана опция Protocol 2.
Ограничивайте SSH доступ
По умолчанию, все системные пользователи имеют возможность подключаться к системе по SSH. Рекомендуем ограничить SSH доступ в целях безопасности. Например, разрешить SSH для пользователей root, merion и networks:
AllowUsers root merion networks
С другой стороны, вы можете разрешить доступ всем пользователям, кроме указанных:
DenyUsers root merion networks
Время неактивности
Важно указывать время, в течение которого, неактивная сессия будет терминирована (завершена). Это можно сделать следующими опциями:
ClientAliveInterval 300
ClientAliveCountMax 0
В данной настройке мы указали время бездействия равным 300 секунд (5 минут).
Про файлы .rhosts
Дело в том, что данный файл содержит список хостов и пользователей. Если в данном файле содержится комбинация хоста и юзера, то данный пользователь сможет подключиться к системе по SSH без запроса пароля. Рекомендуем отключить эту «замечательную» фичу:
IgnoreRhosts yes
Никакой аутентификации на базе хоста!
Так называемая Host-Based Authentication позволяет пользователю с определенного хоста подключаться к серверу. Отключаем:
HostbasedAuthentication no
Прямое подключение через root
Не нужно открывать root. Максимум, советуем использовать прямое root подключение на время проведения работ. Затем отключать. Лучше давать su (sudo) доступ для некоторых категория пользователей. Закрыть можно вот так:
PermitRootLogin no
Сделайте баннер
Для каждого подключающегося сделайте баннер, в котором можно угрожать злоумышленникам, которые пытаются совершить несанкционированный доступ. За настройку баннера отвечает параметр Banner.
22 порт только изнутри!
Сделайте доступ к 22 порту системы только через цепочку фаервол правил. Лучше всего, оставить доступ только изнутри LAN. Например, в Iptables можно дать доступ для 192.168.11.0/24:
-A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT
Где слушать
По умолчанию SSH слушает подключения на всех доступных интерфейсах. Мы рекомендуем сменить порт по умолчанию и указать IP – адрес, на котором необходимо ожидать подключения. Например, мы укажем порт 962 и IP – адрес 192.168.11.24
Port 962
ListenAddress 192.168.11.24
Криптостойкие пароли
Используйте устойчивые к защите пароли. В сети множество инструментов, которые сгенерируют криптостойкий пароль онлайн, бесплатно и без смс :)
Запретить пустые пароли
Бывают пользователи без паролей. Их доступ к SSH так же необходимо запретить с помощью опции:
Port 962
PermitEmptyPasswords no
Анализируйте логи
Установите логирование событий в режим INFO или DEBUG – это позволит иметь расширенный контроль над системой:
LogLevel INFO
В статье будет описана настройка SIP - транка в FreePBX 13 для связки Asterisk и провайдера SIPNET.
Создание SIP – транка Sipnet
Первый шаг является стандартным для настройки любого типа транка – необходимо в веб-интерфейсе пройти по пути: Connectivity –> Trunks.
Далее нажать на кнопку + Add Trunk. Затем выберите «Add SIP (chan_pjsip) Trunk».
Далее необходимо присвоить имя SIP - транку и задать исходящий CallerID
После, необходимо зайти во вкладку pjsip Settings и заполнить поля о логине, пароле и SIP-сервере
Соответственно, Username – номер, полученный от SIPNET, Secret – ваш пароль и SIP Server – адрес самого SIPNET.
Текстовая конфигурация транка
Если вы производите настройку через конфигурационные файлы Asterisk (sip.conf), или, в интерфейсе FreePBX 12 заполняете поле PEER Details, то скопируйте следующую строчку для выполнения настройки:
[sipnet]
secret = ваш пароль
defaultuser = укажите ваш SIP ID выданный оператором
trunkname = sipnet
host = sipnet.ru
type = peer
context = from-trunk
insecure = invite
fromuser = укажите ваш SIP ID выданный оператором
fromdomain = sipnet.ru
disallow = all
allow = alaw&ulaw
nat = no
directmedia = no
dtmfmode = rfc2833
Для завершения настроек и регистрации SIP- транка в FreePBX 12, укажите строку регистрации в поле Register String по указанному шаблону:
[Ваш SIP ID]: [Ваш пароль]@sipnet.ru/[Ваш SIP ID]
Входящий маршрут Sipnet
Чтобы ваш Asterisk мог обрабатывать входящие звонки на номер, который мы зарегистрировали в предыдущем шаге, необходимо создать входящий маршрут. Для этого, перейдите во вкладку Connectivity –> Inbound Routes и нажмите на кнопку + Add Inbound Route. Здесь все просто – в поле DID Number указываете номер, который вы приобрели у Sipnet, а в разделе Set Destination, укажите направление для этого звонка, например, это может быть голосовое меню, Ring Group или конкретный внутренний номер.
Исходящий маршрут Sipnet
Следующим шагом является создание исходящего маршрута. Откроем вкладку Connectivity –> Outbound Routes, выберем +Add Outbound Route
Необходимо задать имя маршрута и номер – он выдан вам провайдером
Обратите внимание, так же необходимо указать SIP - транк в Trunk Sequence for Matched Routes, который был только что создан.
Как финальный шаг, указываем правила набора для использования данного маршрута
Более подробно про настройку маршрутизации вы можете почитать в статье по ссылке ниже:
Настройка маршрутизации вызовов
После всех проведенных манипуляций, жмём Apply Changes наверху страницы.
Может наступить время, когда вам нужно изменить пароль администратора на вашем Windows Server. Варианты восстановления зависят от того, помните ли вы старый пароль или нет.
Если вы регулярно меняете известный пароль администратора, вы можете использовать пользовательский интерфейс Windows. Однако, если вы изменяете неизвестный пароль администратора, вам нужно использовать командную строку.
Изменение пароля администратора сервера Windows Server 2008 R2
Если вы уже знаете текущий пароль администратора и можете войти в Windows Server 2008 R2, изменить пароль так же просто, как перейти к списку пользователей и установить новый пароль.
Войдите на сервер напрямую или удаленно.
Щелкните правой кнопкой мыши на Компьютер и выберите пункт Управление (Manage).
Выберите пункт Конфигурация (Configuration)
Нажмите Локальные пользователи и группы (Local Users and Groups) -> Пользователи (Users).
Найдите и щелкните правой кнопкой мыши на пользователе Администратор.
Нажмите Установить пароль (Set Password) -> Продолжить (Proceed).
Введите и подтвердите новый пароль.
Как сбросить пароль в Windows Server 2008 R2 или 2012
Что делать, когда вам нужно изменить пароль администратора, потому что вы потеряли старый пароль?
Если у вас нет старого пароля, вы не можете получить доступ к серверу, чтобы изменить пароли пользователей. Вместо этого вам нужно будет использовать командную строку для сброса пароля администратора.
Вставьте установочный диск в компьютер и загрузите его.
На экране Язык и другие настройки (Language and other preferences) нажмите Далее.
Выберите ссылку Восстановить компьютер (Repair your computer).
Выберите установку ОС и нажмите Далее.
Нажмите Командная строка (Command Prompt).
Введите следующее:
MOVE C:WindowsSystem32Utilman.exe C:WindowsSystem32Utilman2.exe
Приведенная выше команда создает резервную копию менеджера утилит.
COPY C:WindowsSystem32cmd.exe C:WindowsSystem32Utilman.exe
Эта команда заменяет Utilman командной строкой. Это необходимо для сброса пароля.
Упомянутые выше команды могут различаться в зависимости от пути установки Windows. В нашем примере это на диске C. Если ваша установка находится на другом разделе диска, измените команду соответствующим образом.
Перезагрузите систему.
Выберите значок Ease of Access.
Введите следующее:
net user administrator *
Введите и подтвердите желаемый пароль.
После завершения вы сможете войти в систему как администратор. Однако не забудьте отменить изменения в Utilman. Для этого:
Перезагрузите компьютер снова с установочного диска.
Откройте командную строку.
Запустите следующее:
MOVE C:WindowsSystem32Utilman2.exe C:WindowsSystem32Utilman.exe
Как восстановить пароль Windows Server 2012 с диска восстановления пароля
Если вы создали диск восстановления пароля (Password Recovery Disk) для своего сервера, вставьте USB-накопитель в сервер и перезагрузите систему.
При появлении запроса на вход нажмите ссылку Сбросить пароль (Reset Password).
В мастере забытых паролей нажимайте кнопку Далее, пока вам не будет предложено указать местоположение диска с паролями.
Выберите диск для сброса пароля и следуйте инструкциям, чтобы установить новый пароль.
Перезагрузите компьютер и войдите под новым паролем.