[问答] ssh 可以锁 MAC address 吗?

楼主: HuangJC (吹笛牧童)   2020-07-25 13:52:10
最近开始测试把树莓派公开到公网上
也试试网络上有多少变态 XD
一天不到就被破了
没啦,是我用 default user name & password XD
pi/raspberry
改了这个后,没再被破过了
不过长期来说,我们要把设备卖到客户那边
十天半个月长期跑,也不是没风险
我们产品用不到 ssh, ssh 是我方便自己用的
所以我就想,设个白名单,开放我笔电的 MAC address 就好
查下去发现我搞错了,白名单只有开 IP
而我笔电可能去任何地方挂单,不保证 IP 啊!
为什么我会想到 MAC address? 就隐隐觉得有,和其他功能搞错了
(我的无线 AP 是有,那是说连上我的 ssid/password 时,可以限定 MAC)
不过我这台可是树莓派,跑 linux 咧
又不是不能写程式的 AP
linux 真的没有锁 MAC address 的大绝可以放吗?
或这也不算大绝,别人冒充我的 MAC 就可以了?
这种无聊的人应该很少吧!
作者: fredwei1031 (FredWei)   2020-07-25 14:32:00
只要跨网段来访问 mac address都是同一个好吗?
作者: birdy590 (Birdy)   2020-07-25 15:40:00
MAC address 过 router 就没了锁 IP 是一定要的 还担心可以换个 port
作者: dennisxkimo (Dennis(一上B就糟糕))   2020-07-25 15:48:00
ssh 很多pam可以强化 例如2fa 或是失败次数锁定时间,另外可以加强制凭证 有凭证才能进来
作者: AndCycle (AndCycle)   2020-07-26 02:45:00
麻烦网络 layer 2/ layer 3 是什么看一下 ...
作者: asdfghjklasd (好累的大一生活)   2020-07-26 14:17:00
可以锁 mac address ,前题是你改改sshd ,ssh client
作者: jack82822005 (小郭郭)   2020-07-26 15:07:00
你干脆在固定IP上架个VPN,透过VPN再ssh到你的派是说凭证登入是基本的吧?XD
作者: asdfghjklasd (好累的大一生活)   2020-07-27 11:18:00
去搞懂OSI/ISO 模型,跟网络运作原理若简单想了解,去看CCNA若真的想安全,是直接拔网络线跟电源线
作者: b325019 (望月)   2020-07-27 21:17:00
你ssh可以关掉密码登入只用key
作者: blackbox (黑盒子)   2020-07-27 21:47:00
网络架构出是一层包一层,收也是一层拆一层。mac addr在第二层,但是互联网是在第三层mac addr只到区网层级,到了gateway就被拆包装换掉了分层目的就是让上层可以无视下层的细节,彼此独立运作上层不管下层怎么包,反正送的到就好下层也不看上层的内容,直接打包就好像你网购只选怎么收货,实际上怎么来的不用管有可能今天黑猫送,明天邮差送。反正都可以收到你的包裹写送到某地址(IP),然后丢给管理员(Gateway)管理员找最近的邮局寄件,代理人写他(mac)邮局交给邮差,寄件单位为邮局(ip),负责人为柜员(mac)邮差(mac)送到分点(ip),交给下一个邮差一直这样下去,到指定地址为止你的包裹上面一直有写地址(dest ip),也一直传下去,但中间经手人(mac)会一直换甚至每次经手的都不同人,但是你只关注有没有收到而已
作者: fonzae (fonzae)   2020-07-28 12:33:00
还可以跟这种人讨论那么多篇喔绕来绕去就是SSL VPN想用SSH 达成转发效果,你怎么不去研究SSL VPN呢?还在那边公网 私网,浪费众人时间
作者: youtuuube000 (小孩)   2020-08-01 09:10:00
未看先猜一定有人回答VPN
作者: asdfghjklasd (好累的大一生活)   2020-08-26 04:03:00
你要我给你可以做的方案我会收个100,000USD
作者: b325019 (望月)   2020-08-29 10:51:00
当然可以有重复的mac,vmware在OUI也才注册6段,你觉得这6段有可能够全世界虚拟机用吗,只要用L3隔开之后你里面怎么玩问题不大
作者: blackbox (黑盒子)   2020-08-29 20:51:00
概念一直很简单阿,由你们提供主机连入连入后直接打洞,你再从主机端进入这样客户端没有开服务的安全问题
作者: b325019 (望月)   2020-09-08 23:47:00
要mac不重复喔?ipv4 32bit,v6 128bit,现行mac也才48biit大概再过个几年就换mac要改格式了
作者: blackbox (黑盒子)   2020-09-09 08:39:00
mac addr回收再利用比较没问题,所以不急就算是同一家的设备,也只有1600万分之一的机率重复而且一般都是循序编号,至少要出个千万台才遇的到
作者: birdy590 (Birdy)   2020-09-11 02:23:00
现在很多都改用 LAA 了... LAN 里重号的机率低的可以
楼主: HuangJC (吹笛牧童)   2020-09-11 20:06:00
住院中,被惯老板操到肺炎确诊,看到有回应好感动所以开gateway ports 就确定可行;或顶多再见招拆招解问题,总之固定ip 接ap,再转接至rpi一定可行,是吧!谢谢查过 gateway port 设定了,原来是指 sshd config 里的设定;可是我跨公网测试失败,之前在家私网测试都成功说,我那时可没设;得再回想了,病床上无法测
作者: birdy590 (Birdy)   2020-09-16 16:37:00
locally administered address

Links booklink

Contact Us: admin [ a t ] ucptt.com