Изменяем приветствие в SSH Debian
Все, кто совершал вход в систему Debian через консоль или посредством SSH, видели следующее сообщение: The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law.
Перевод: Программы, входящие в состав системы Debian GNU/Linux, являются свободными программами; точные условия распространения для каждой программы описаны в отдельных файлах в /usr/share/doc/*/copyright.
Debian GNU/Linux поставляется без каких-либо гарантий, разрешено действующим законодательством.
Один раз прочитать нужно, а в дальнейшем видеть эту информацию не имеет смысла. Можно заменить её на что-то более полезное. Или, например, вывести информативный баннер, а лучше информацию об использовании оперативной памяти или нагрузке на процессор. Так как же изменить приветствие в консоли или в SSH Debian?
Текст об отказе от гарантий находится в файле /etc/motd. Открываем его в текстовом редакторе nano (выполняем с правами root):
И заменяем, содержащуюся в нём информацию, на свою. Например, вносим сведения об организации или об особенностях данного сервера (рабочей станции). Выходим из системы и входим заново. Получилось!
Теперь попробуем вывести баннер. Для этого, сначала надо очистить /etc/motd. Удалять не надо – просто очистить.
# cat /dev/null > /etc/motd
Затем понадобится программа figler. Устанавливаем её через apt или aptitude (кому как нравится):
# aptitude install figlet
Программа figlet выводит в стандартный поток вывода текстовый баннер составленный из символов. Например, команда:
$ figlet -ct aitishnik.ru
Выведет на экран следующий баннер.
Ключ –с выравнивает баннер по центру, а ключ –t устанавливает ширину вывода по ширине экрана. Figlet поддерживает юникод. Т. е. можно сделать баннер на русском языке. Для этого нужно указать ключ –C и использовать соответствующий шрифт -f.
$ figlet -ct -C utf8 -f banner айтишник.ру
Выведет на экран следующий баннер.
Кстати, посмотреть используемые figlet шрифты можно с помощью команды:
Пока о figlet достаточно, а мы продолжим. Нам нужно сделать простейший скрипт, например salute.sh, содержащий вызов figlet с нужными параметрами и разместить его в /etc/profile.d.
С помощью редактора nano сразу создаем его в нужном месте:
Со следующим содержанием:
Сохраняем файл (Ctrl+O, Enter), закрываем редактор (Ctrl+X). Выходим из системы и входим заново. Любуемся результатом!
А теперь давайте выведем в приветствие полезную информацию о файловой системе, загрузке процессора, использовании оперативной памяти и т. д. Для этого нам понадобится другой скрипт. Назовём его sshinfo.sh. Содержимое скрипта взято отсюда.
Сохраняем и закрываем файл. И опять выходим из системы и входим в неё. Полезно, не так ли?
Комбинируя всё то, о чём вы прочитали в этой статье, можно добиться от приветствия хорошей информативности. Надеюсь, статья вам понравилась.
Помните, что у нас вы можете не только купить готовый сайт или заказать его разработку, но и подобрать подходящий тариф поддержки сайта, заказать продвижение сайта в поисковых системах, а так же зарегистрировать домен в одной из двухсот доменных зон и выбрать недорогой тариф хостинга! Айтишник РУ
Источник
Linux и Windows: помощь админам и пользователям
Администрируем и настраиваем Windows, Linux.
Меняем приветствие SSH в Ubuntu
Каждый раз, когда я подсоединяюсь с моим Ubuntu сервером через ssh клиент, я вижу одно и тоже сообщение каждый раз и я уже устал от его вида. Так что я решил изменить это сообщение на что-нибудь ещё.
Вот это сообщение, которое я получаю каждый раз:
Для изменения этого сообщения требуется редактировать 2 различных файла. Первые три секции могут быть изменены редактированием следующего файла:
Этот файл содержит сведения о номере ядра linux, а также гарантийное обязательство Ubuntu. Я не нахожу это полезным, так что я удалил все оттуда и заменил своим собственным сообщением.
Для отключения сообщения о последнем подключении (я не рекомендую это делать) вам необходимо редактировать следующий файл в sudo режиме.
Найдите эту строчку в файле и измените её с yes на no как показано ниже:
Теперь когда вы будете подключаться, вы увидите пустое приглашение, хотя я не настоятельно рекомендую это, так как видеть последнее залогинивание довольно полезно по причинам безопасносит. Теперь мое ssh приглашение выглядит так:
Комментариев: 2
Что-то у меня в Ubuntu (наверно после каждого обновления) возвращается гарантийное обязательство. Его как-нибудь можно оставить постоянным, а не править?
Ну раз туда пишется версия ядра, то вряд ли.
Источник
Как изменить или убрать приветствие OpenSSH
Порт уже и так нестандартный. Но если телнетнуться к ssh/sftp, то вылазит что-то вроде
Мне это не нравится. Особенно указания на версии и названия программы. Слишком много вредной инфы выводится. Вредной в смысле облегчения поисков эксплоитов и т.п.
В /etc/ssh/sshd_config есть параметр Banner, но отвечает за то, что выводится после логина. Есть еще DebianBanner — установка в «no» убирает инфу об операционке после приветствия. Без него было после SSH-2.0-OpenSSH_7.9p1 еще и название ОС и версия.
Хотелось бы без перекомпиляции исходников поредактировать инфу.
В /etc/ssh/sshd_config есть параметр Banner, но отвечает за то, что выводится после логина.
А если ман перечитать?
ман не совсем то ли точный, то ли ясный. Строчка из этого файла у меня подставляется после логина и никак не меняет вывод телнета на ssh-порт.
Спасибо, похоже действительно только исходники если патчить.
Не то, мне не нужно приветствие после логина. Мне нужно, чтобы telnet хост порт не выдавал лишнего.
У меня она появляется до логина. Ман говорит, что она появляется до логина. Нас больше, ты проиграл.
А версия в ssh-клиенте не выводится вообще – вангую, она таки действительно часть протокола, поэтому проглатывается.
У меня она появляется до логина. Ман говорит, что она появляется до логина. Нас больше, ты проиграл.
Ну ладно, и до и после логина. В любом случае, не об этой инфе речь. По умолчанию, она вообще не выводится.
А версия в ssh-клиенте не выводится вообще – вангую, она таки действительно часть протокола, поэтому проглатывается.
Наверное. Но вообще она появляется, если смотреть не ssh-клиентом, а просто телнетом.
А может port knocking, чтобы пока не постучал — sshd был прикрыт?
Мне это не нравится. Особенно указания на версии и названия программы. Слишком много вредной инфы выводится. Вредной в смысле облегчения поисков эксплоитов и т.п.
Ты хочешь security by obscurity, но это так не работает. Просто обновляй софт вовремя
Ты хочешь security by obscurity, но это так не работает.
Нет, это именно так и работает. Правило означает, что безопасность не должна основываться на незнании, но это не значит, что все надо публично выставлять.
Это не всегда помогает.
Хотелось бы без перекомпиляции исходников поредактировать инфу.
Редактируй бинарник, делов то.
Но ломать тебя будут не глядя на версии, просто будут перебирать уязвимости начиная со свежайшей доступной
Нет, это именно так и работает. Правило означает, что безопасность не должна основываться на незнании, но это не значит, что все надо публично выставлять.
Ничего постыдного в этом нет. Все сервера святят версиями и не позволяют настраивать этот параметр. Это нормально. Вместо создания неясности нужно использовать свежий либо патченный от дырок софт.
И пересаживать SSH на нестандартный порт это тоже школизм. Вместо этого надо использовать аутентификацию по ключам, и никто тебя брутить не будет.
Ничего постыдного в этом нет. Все сервера святят версиями и не позволяют настраивать этот параметр. Это нормально. Вместо создания неясности нужно использовать свежий либо патченный от дырок софт.
А при чем тут постыдность-то? Ты не путай разные ситуации. «Все сервера» обычно админятся или за зарплату, еще и штатом админов, либо в каких-то проектах профи же или любителем, но с ресурсами времени и сил на них. Да и при том нет-нет, да появляются сообщения, что чего-то подломали. Вон на днях форум проекта OpenWRT взломали, а о скольких взломах публика особо не в курсе. Включая может и хозяев взломанного %)
И пересаживать SSH на нестандартный порт это тоже школизм. Вместо этого надо использовать аутентификацию по ключам, и никто тебя брутить не будет.
Правильно, если сервис публичный или от какой-то компании, то смысла никакого нет.
Но ты вот эти все рассуждения прикладываешь к ситуации организации шары для буквально пары-тройки, ну может чуть больше человек приватным образом в условиях, когда в сущности максимум доступного — это просто вовремя накатывать апдейты от мейнтейнеров дистрибутива.
Почему в этом случае слегка дополнительно не обезопаситься и нестандартным портом и приветствием? Пока например за уже без малого сутки, судя по логам, никто левый даже не попробовал проверить нестандартный порт — чем этот результат плох?
Или еще, вот ты говоришь про вовремя обновляться и патчить дырки. Но что-то героев на этих условиях выставить в обычный интернет samba не особо много (также как и NFS к слову). А ведь тоже, казалось бы она и патчится и обновляется и при правильной настройке пускает только заданных юзеров.
Указанные тобой меры могут отпугнуть разве что школие, и то не любое.
Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.
И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.
судя по логам, никто левый даже не попробовал проверить нестандартный порт — чем этот результат плох?
Тем что самому становится неудобно. Надо подключаться к какому-то левому порту. Парольная аутентификация по SSH это крайняя мера. Используют вообще-то стандартный порт и аутентификацию по ключам
Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.
Конечно. Но стаи тупых ботов простая смена порта уже отваживает. Понятно, что против них все-равно и в первую очередь даже, надо обновляться, но тем не менее.
И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.
Так я не на общую слабость самбы и nfs хочу обратить внимание, а что в каждый текущий момент они как бы защишены. То есть, вроде бы нет никаких дырок, если обновляться.
Надо подключаться к какому-то левому порту.
Это вообще не проблема. Одна дополнительная опция при подключении. Многие клиенты (winscp например) и так имеют поле для ввода номера порта, просто там по умолчанию 22 стоит.
Используют вообще-то стандартный порт и аутентификацию по ключам
Нормальный пароль, сгенерированный pwgen, в плане безопасности чем хуже? Вообще-то, я знаю, что на самом деле хуже, тем что клиентом не проверяется сервер (вернее если проверять отпечаток, то тогда уже и ключи проверять) и упрощается mitm. Но это уже как раз из серии изощренных атак, которые в обычном случае (как у меня) никто не станет делать. А если есть опасение, то конечно ключи должны быть.
Главный риск тут, чтобы не оказалось какой-то 0-day дыры, позволяющей обойтись вообще без аутентификации или проверки ключа/пароля или чего-то в этом роде.
Источник
