- Настройка внешнего вида login’a в консоли GNU/Linux
- Изменяем внешний вид приветствия перед логином в Linux
- Удаляем сообщения о новой почте в Ubuntu, Linux Mint, Debian и т. д.
- bash редактируем приветствия сервера Linux
- Редактируем стандартное приветствия Linux/Bash
- О песочнице
- О модерации
- Заметки про motd
- Как изменить или убрать приветствие OpenSSH
Настройка внешнего вида login’a в консоли GNU/Linux
Если не установлена графическая оболочка, то после загрузки дистрибутива GNU/Linux встречает приветствие консоли с просьбой ввести имя пользователя и пароль. Запускается весь этот процесс обычно программкой /bin/agetty. Вывод работы которой можно разделить на три части:
- Различная информация, которую оставили создатели дистрибутива. Её пользователь видит перед входом в систему. К примеру, в Debian это достаточно большое приветствие, содержащее полезные и не очень вещи.
- Собственно строка вида:
имя_хоста login: Где необходимо ввести имя пользователя и пароль. В данном случае запускается утилита /bin/login. - Различные сообщения системы после входа пользователя. К ним относятся уведомления о новой почте в Ubuntu, Debian и других дистрибутивах.
К сожалению, как изменить представление работы программы /bin/login я не знаю. Ну если только через правку исходного кода. С остальным же всё проще.
Изменяем внешний вид приветствия перед логином в Linux
За строчки перед “имя_хоста login:” отвечает содержимое файла /etc/issue. Для внешних сетевых соединений (в том числе по ssh) есть файл /etc/issue.net. В эти два файла можно записывать как произвольные сообщения, так и специальные символы. Начинаются они с обратного слеша или , а оканчиваются на какую-нибудь латинскую букву. При обработке утилитой /bin/agetty они заменяются на определённую последовательность букв или цифр (к примеру, вместо r будет показана версия ядра Linux системы).
| Специальные символы, используемые в файле /etc/issue | |
|---|---|
| Символ | Значение |
| b | Скорость передачи текущей консоли |
| d | Актуальная дата |
| s | Название дистрибутива |
| l | Имя конкретной консоли |
| m | Архитектура ОС |
| n | Имя хоста |
| o | Доменное имя |
| r | Версия ядра Linux |
| t | Время |
| u | Количество пользователей, вошедших в систему. |
| U | Строка вида “N users”, где N – число из предыдущего пункта (u) |
| v | Версия операционной системы, к примеру время-дата сборки |
Если файл /etc/issue содержит следующие строки:
Welcome to Ozi-Linux (/r)! d t
То перед строкой входа в систему будет показано примерно это:
Welcome to Ozi-Linux (4.7.0-1)! Tue Aug 9 2016 22:01:51
Удаляем сообщения о новой почте в Ubuntu, Linux Mint, Debian и т. д.
Для этого необходимо создать пустой файл .hushlogin в домашней папке пользователя:
$ touch
Кроме того, не будут отображаться и другие уведомления от системы, которые были бы показаны сразу после входа в систему. Однако могут показываться сообщения, содержащиеся в конфигурационных файлах bash.
Источник
bash редактируем приветствия сервера Linux
Редактируем стандартное приветствия Linux/Bash
1. Установим дополнительные пакеты «figlet»
переходим в каталог суперпользователя…
Редактируем файл .bashrc
(добавим дополнения в низ после #fi)
После мы получим данные сервера при получении прав на суперпользователя:
— Свободное место на HDD;
— Полный объем HDD;
— Свободно ОЗУ;
— uptime системы;
— Кто подключен;
— Имя хоста;
— Дата смены пароля…
О песочнице
Это «Песочница» — раздел, в который попадают дебютные посты пользователей, желающих стать полноправными участниками сообщества.
Если у вас есть приглашение, отправьте его автору понравившейся публикации — тогда её смогут прочитать и обсудить все остальные пользователи Хабра.
Чтобы исключить предвзятость при оценке, все публикации анонимны, псевдонимы показываются случайным образом.
О модерации
Не надо пропускать:
- рекламные и PR-публикации
- вопросы и просьбы (для них есть Хабр Q&A);
- вакансии (используйте Хабр Карьеру)
- статьи, ранее опубликованные на других сайтах;
- статьи без правильно расставленных знаков препинания, со смайликами, с обилием восклицательных знаков, неоправданным выделением слов и предложений и другим неуместным форматированием текста;
- жалобы на компании и предоставляемые услуги;
- низкокачественные переводы;
- куски программного кода без пояснений;
- односложные статьи;
- статьи, слабо относящиеся к или не относящиеся к ней вовсе.
Источник
Заметки про motd
motd — message of the day, сообщение отображаемое при входе в Linux-систему (на примере Ubuntu).
Раньше файл, содержащий приветствие располагался в /etc/motd , сейчас же это набор скриптов, располагающихся в каталоге /etc/update-motd.d/ :
Порядок отображения, как правило, в порядке заданных приоритетов — 00, 10 и тп…
В результате выполнения отображается:
Много лишнего для нас — не так ли?
Я отключу часть и добавлю своё приветствие.
Создам файл и сделаю его исполняемым.
Теперь открываю его в любом редакторе и добавляю:
Где -e — включить поддержку вывода Escape последовательностей, \033[34m и \033[33m — цвета текста, \033[0m — сброс цветов.
Доступны такие цвета текста:
\033[30m — чёрный;
\033[31m — красный;
\033[32m — зелёный;
\033[33m — желтый;
\033[34m — синий;
\033[35m — фиолетовый;
\033[36m — голубой;
\033[37m — серый.
И такие цвета фона:
\033[40m — чёрный;
\033[41m — красный;
\033[42m — зелёный;
\033[43m — желтый;
\033[44m — синий;
\033[45m — фиолетовый;
\033[46m — голубой;
\033[47m — серый;
\033[0m — сбросить все до значений по умолчанию.
Просмотреть результат можно командой sudo run-parts /etc/update-motd.d или cat /var/run/motd.dynamic .
00-header — содержит само приветствие Welcome to Ubuntu 18.04.5 LTS (GNU/Linux 4.15.0-118-generic x86_64)
10-help-text — ссылки на информацию и сапппорт
50-landscape-sysinfo ведет к сприпту для получения системной информации
50-motd-news — какие-то новости
80-livepatch — информация про Livepatch
80-esm — информация об Extended Security Maintenance — Расширенное обслуживание системы безопасности
Далее скрипты об обновлениях, перезагрузке и тд.
Для отключения ненужных сообщений просто задаю им права 400 .
Источник
Как изменить или убрать приветствие OpenSSH
Порт уже и так нестандартный. Но если телнетнуться к ssh/sftp, то вылазит что-то вроде
Мне это не нравится. Особенно указания на версии и названия программы. Слишком много вредной инфы выводится. Вредной в смысле облегчения поисков эксплоитов и т.п.
В /etc/ssh/sshd_config есть параметр Banner, но отвечает за то, что выводится после логина. Есть еще DebianBanner — установка в «no» убирает инфу об операционке после приветствия. Без него было после SSH-2.0-OpenSSH_7.9p1 еще и название ОС и версия.
Хотелось бы без перекомпиляции исходников поредактировать инфу.
В /etc/ssh/sshd_config есть параметр Banner, но отвечает за то, что выводится после логина.
А если ман перечитать?
ман не совсем то ли точный, то ли ясный. Строчка из этого файла у меня подставляется после логина и никак не меняет вывод телнета на ssh-порт.
Спасибо, похоже действительно только исходники если патчить.
Не то, мне не нужно приветствие после логина. Мне нужно, чтобы telnet хост порт не выдавал лишнего.
У меня она появляется до логина. Ман говорит, что она появляется до логина. Нас больше, ты проиграл.
А версия в ssh-клиенте не выводится вообще – вангую, она таки действительно часть протокола, поэтому проглатывается.
У меня она появляется до логина. Ман говорит, что она появляется до логина. Нас больше, ты проиграл.
Ну ладно, и до и после логина. В любом случае, не об этой инфе речь. По умолчанию, она вообще не выводится.
А версия в ssh-клиенте не выводится вообще – вангую, она таки действительно часть протокола, поэтому проглатывается.
Наверное. Но вообще она появляется, если смотреть не ssh-клиентом, а просто телнетом.
А может port knocking, чтобы пока не постучал — sshd был прикрыт?
Мне это не нравится. Особенно указания на версии и названия программы. Слишком много вредной инфы выводится. Вредной в смысле облегчения поисков эксплоитов и т.п.
Ты хочешь security by obscurity, но это так не работает. Просто обновляй софт вовремя
Ты хочешь security by obscurity, но это так не работает.
Нет, это именно так и работает. Правило означает, что безопасность не должна основываться на незнании, но это не значит, что все надо публично выставлять.
Это не всегда помогает.
Хотелось бы без перекомпиляции исходников поредактировать инфу.
Редактируй бинарник, делов то.
Но ломать тебя будут не глядя на версии, просто будут перебирать уязвимости начиная со свежайшей доступной
Нет, это именно так и работает. Правило означает, что безопасность не должна основываться на незнании, но это не значит, что все надо публично выставлять.
Ничего постыдного в этом нет. Все сервера святят версиями и не позволяют настраивать этот параметр. Это нормально. Вместо создания неясности нужно использовать свежий либо патченный от дырок софт.
И пересаживать SSH на нестандартный порт это тоже школизм. Вместо этого надо использовать аутентификацию по ключам, и никто тебя брутить не будет.
Ничего постыдного в этом нет. Все сервера святят версиями и не позволяют настраивать этот параметр. Это нормально. Вместо создания неясности нужно использовать свежий либо патченный от дырок софт.
А при чем тут постыдность-то? Ты не путай разные ситуации. «Все сервера» обычно админятся или за зарплату, еще и штатом админов, либо в каких-то проектах профи же или любителем, но с ресурсами времени и сил на них. Да и при том нет-нет, да появляются сообщения, что чего-то подломали. Вон на днях форум проекта OpenWRT взломали, а о скольких взломах публика особо не в курсе. Включая может и хозяев взломанного %)
И пересаживать SSH на нестандартный порт это тоже школизм. Вместо этого надо использовать аутентификацию по ключам, и никто тебя брутить не будет.
Правильно, если сервис публичный или от какой-то компании, то смысла никакого нет.
Но ты вот эти все рассуждения прикладываешь к ситуации организации шары для буквально пары-тройки, ну может чуть больше человек приватным образом в условиях, когда в сущности максимум доступного — это просто вовремя накатывать апдейты от мейнтейнеров дистрибутива.
Почему в этом случае слегка дополнительно не обезопаситься и нестандартным портом и приветствием? Пока например за уже без малого сутки, судя по логам, никто левый даже не попробовал проверить нестандартный порт — чем этот результат плох?
Или еще, вот ты говоришь про вовремя обновляться и патчить дырки. Но что-то героев на этих условиях выставить в обычный интернет samba не особо много (также как и NFS к слову). А ведь тоже, казалось бы она и патчится и обновляется и при правильной настройке пускает только заданных юзеров.
Указанные тобой меры могут отпугнуть разве что школие, и то не любое.
Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.
И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.
судя по логам, никто левый даже не попробовал проверить нестандартный порт — чем этот результат плох?
Тем что самому становится неудобно. Надо подключаться к какому-то левому порту. Парольная аутентификация по SSH это крайняя мера. Используют вообще-то стандартный порт и аутентификацию по ключам
Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.
Конечно. Но стаи тупых ботов простая смена порта уже отваживает. Понятно, что против них все-равно и в первую очередь даже, надо обновляться, но тем не менее.
И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.
Так я не на общую слабость самбы и nfs хочу обратить внимание, а что в каждый текущий момент они как бы защишены. То есть, вроде бы нет никаких дырок, если обновляться.
Надо подключаться к какому-то левому порту.
Это вообще не проблема. Одна дополнительная опция при подключении. Многие клиенты (winscp например) и так имеют поле для ввода номера порта, просто там по умолчанию 22 стоит.
Используют вообще-то стандартный порт и аутентификацию по ключам
Нормальный пароль, сгенерированный pwgen, в плане безопасности чем хуже? Вообще-то, я знаю, что на самом деле хуже, тем что клиентом не проверяется сервер (вернее если проверять отпечаток, то тогда уже и ключи проверять) и упрощается mitm. Но это уже как раз из серии изощренных атак, которые в обычном случае (как у меня) никто не станет делать. А если есть опасение, то конечно ключи должны быть.
Главный риск тут, чтобы не оказалось какой-то 0-day дыры, позволяющей обойтись вообще без аутентификации или проверки ключа/пароля или чего-то в этом роде.
Источник
