我提的DSM內嵌SSH Client並非指透過DSM在連出去外面的SSH Server,而是可以管理自己的介面,嵌在DSM系統內
因為直接對外開放SSH服務,一天到晚都被猜密碼,想說如果不用對外開放SSH,而是DSM就直接內建SSH的管理套件,登入DMS就可以直接做管理
第一,少掉被猜密碼的窗口
第二,只要登入DSM就可以跑SSH Client,連SSH軟體都省了
第三,如果DSM是透過SSL,那也不需SSH,直接跑Telnet就可以了
先不論官方是否要做,實際上這種架構是否能達成呢?
謝謝
至於說被猜密碼可以用一些IP清單之類的ACL 排除掉吧
一香(箱)、兩香(箱)、三香(箱)、四香(箱)、五香(箱)
(老闆聽了很爽一直搬)
老闆,我要張君雅五香海苔一包
任何電腦只要有瀏覽器,連到你 NAS 的網頁伺服器,在 WEB 介面中,就有提供 SSH 工具,可以連到自己本身的 SSH server。
然後 SSH server 就不對外開放了,只允許 127.0.0.1 localhost 本機連線。
google 了一下:web ssh
還真有這東西,有現成的架站軟體,但不是 PHP 程式,是 Python 編寫的。如果 NAS 是完整的 Linux 系統,估計有機會裝上。
***********************************************
不過其實這樣安全性也沒增加多少吧
SSH 會被 try 密碼,web 介面也會啊....
且透過 web 介面,反應速度必定比較慢,吃的流量也比較高。
唯一好處只是:不需 SSH Client 端,比如 putty 之類的,任何電腦只要有瀏覽器,就能連上。
但是網咖的電腦,瀏覽器會有瀏覽記錄,有密碼記憶,反而危險。就算離開前清空,甚至電腦還原,但是誰知上網有沒有透過 proxy,搞不好 proxy 那邊也有側錄。除非 SSL 連線的,有加密封包,才比較保險。
純粹的 SSH 則是全程加密的,且也不會被 proxy 側錄。而那個連線軟體 putty 之類,離開前整個刪除就好了,不刪或者被用硬碟掃描工具救回來,也無所謂,它本來就不會儲存任何密碼。
猜密碼的話,一般來說 SSH 都是建議設不允許 root 登入,要猜密碼之前,必須先猜中使用者名稱,這個難度就比較高了。
除非 100% 確定就是那個使用者名稱,不然暴力破解密碼也沒用,因為使用者名稱不對,SSH 也是照樣給打密碼,但永遠都不可能 try 到正確的密碼,因為使用者名稱如果一開始即不對了,再怎麼猜那位不存在的使用者的密碼,也是白費工。
即便兩樣都給幸運猜中了,登入後也只是一般使用者身分,仍不是 root 超級管理員,還要 su 或 sudo 成 root ,需要再猜一次密碼。而登入後,系統就有記錄了,就會被發現。
好像 SSH 也可以設定:3次密碼不正確,自動封鎖幾分鐘...之類的,這個就不太清楚了。
piligo wrote:
第一,少掉被猜密碼的窗口
第二,只要登入DSM就可以跑SSH Client,連SSH軟體都省了
第三,如果DSM是透過SSL,那也不需SSH,直接跑Telnet就可以了
我認為這東西應該要叫web shell
http://doc.freenas.org/index.php/Shell
再來就是速度上的考量,freenas內就有嵌有shell可以使用
雖然方便,但反應明顯較慢,而且還不能使用auto-complete,因為一壓TAB就會跳到其它網頁物件上。
如果害怕SSH被人試密碼,可以把SSH改port且使用金鑰來登入
這樣就沒有被試密碼的問題了。
http://www.linuxproblem.org/art_9.html
還是說你有在網咖電腦使用SSH的需求?
內文搜尋
從 APP 打開
X