A**********e
发帖数: 3102 | 1 考虑到 wireless 用户,可能保持 putty 链接是个问题?如何能够让 putty/plink 自
动重接? |
a*******e
发帖数: 3021 | 2 为啥不用samba+vpn?
【在 A**********e 的大作中提到】
: 考虑到 wireless 用户,可能保持 putty 链接是个问题?如何能够让 putty/plink 自
: 动重接?
|
s*c
发帖数: 3 | 3 回楼主 理论上靠普啊。 samba可以做tcp连接。只要是tcp. ssh forward都可行的。
有一个myentunnel可以让plink自动连接。而且是后台的。可以做成services.
另外楼主 我是为了回你这帖子专门注册了ID. 累啊。。。 |
A**********e
发帖数: 3102 | 4 详细说说?
plink 自
【在 a*******e 的大作中提到】
: 为啥不用samba+vpn?
|
A**********e
发帖数: 3102 | 5 赞这个啊。
我目前是用的 MS Loopback Adaptor 设一个虚拟的 IP,然后 ssh tunnel 远程的 590
1 到这个 IP 上,再从 explorer 里的 map network drive 选项把这个 IP map 成 lo
cal disk。我用是没问题。但是这是大家在用,要考虑到群众们的反应啊。我不知道能
不能跟人家说清楚。。。
【在 s*c 的大作中提到】
: 回楼主 理论上靠普啊。 samba可以做tcp连接。只要是tcp. ssh forward都可行的。
: 有一个myentunnel可以让plink自动连接。而且是后台的。可以做成services.
: 另外楼主 我是为了回你这帖子专门注册了ID. 累啊。。。
|
a*******e
发帖数: 3021 | 6 ........
在samba服务器上同时做个openvpn服务器,分配局域网地址比如192.168.2.*
用户vpn后成了该局域网用户,直接访问samba服务器192.168.2.1.
【在 A**********e 的大作中提到】
: 详细说说?
:
: plink 自
|
A**********e
发帖数: 3102 | 7 。。。 对用户来说,这个和 ssh 有啥不同么?而且 ssh 在 putty 下有一堆工具,还
可以和用户的 WinSCP 一起设置。更何况 VPN 好像不如 ssh 可靠?起码我过去的系的
VPN 一直踢人。
再者,我怎么访问 VPN?岂不是要在 iptables 上再多开个洞?我现在希望除了 licen
se server 必须要开 port 来访问相应公司的 license server 以外,所有别的服务都
从ssh port 走 -- 这样我把 ssh port 放在高端的后,会安全得多。
另一个安全隐患是我们这里所有计算机都能远程 remote desktop,而大家的密码又多半
很弱智,况且在 windows 上人人都有 administrator 权限,也就是说,都能看我的文
件,尤其是我的 private key。害得我禁止了自己在所有机器上以 server wheel grou
p user 来访问服务器,目前只允许从我的 notebook 访问。这都是什么破事啊。windo
ws 这种模式很让人头大。
【在 a*******e 的大作中提到】
: ........
: 在samba服务器上同时做个openvpn服务器,分配局域网地址比如192.168.2.*
: 用户vpn后成了该局域网用户,直接访问samba服务器192.168.2.1.
|
a*******e
发帖数: 3021 | 8 都可以,哈哈
俺是从一个非IT普通用户角度看的,vpn最简单直接,ssh tunnelling不是那么容易懂的
你们的服务器是windows?
licen
多半
grou
windo
【在 A**********e 的大作中提到】
: 。。。 对用户来说,这个和 ssh 有啥不同么?而且 ssh 在 putty 下有一堆工具,还
: 可以和用户的 WinSCP 一起设置。更何况 VPN 好像不如 ssh 可靠?起码我过去的系的
: VPN 一直踢人。
: 再者,我怎么访问 VPN?岂不是要在 iptables 上再多开个洞?我现在希望除了 licen
: se server 必须要开 port 来访问相应公司的 license server 以外,所有别的服务都
: 从ssh port 走 -- 这样我把 ssh port 放在高端的后,会安全得多。
: 另一个安全隐患是我们这里所有计算机都能远程 remote desktop,而大家的密码又多半
: 很弱智,况且在 windows 上人人都有 administrator 权限,也就是说,都能看我的文
: 件,尤其是我的 private key。害得我禁止了自己在所有机器上以 server wheel grou
: p user 来访问服务器,目前只允许从我的 notebook 访问。这都是什么破事啊。windo
|
A**********e
发帖数: 3102 | 9 我现在的服务器是 linux 啊。我觉得 firewall 上能少开洞为佳。我们这里人人都用
putty 和 WinSCP 的,只要教大家如何设置 Pageant 就成了。
懂的
,还
系的
务都
的文
【在 a*******e 的大作中提到】
: 都可以,哈哈
: 俺是从一个非IT普通用户角度看的,vpn最简单直接,ssh tunnelling不是那么容易懂的
: 你们的服务器是windows?
:
: licen
: 多半
: grou
: windo
|
s*c
发帖数: 3 | 10 楼主我试验了 完全可行。
但前提是139端口要关闭.
http://www.blisstonia.com/eolson/notes/smboverssh.php
用myentunnel 所有都在幕后。 用户是透明的。 这样只有ssh端口开放。
其实 可以认为ssh的port forward就是一个vpn 只不过就vpn一个口子而已. |
A**********e
发帖数: 3102 | 11 我已经用了一段日子了,呵呵。但是 myentunnel 似乎在我的笔记本上不是很好用。所
以我还是用 pageant 管理 key,用 plink 接,自己写个 .bat。
windows xp 就是好呀,不需要关 139,就直接把 139 给 tunnel 到 windows loop ad
apter 上就成。目前还是有些问题的:
windows vista 我还没有实验成功。我的确也 tunnel 了 445 来封嘴,但是没通。等下
周我再试一试 -- 我自己不用 vista,所以得找别人的机器来试验。
另一个问题是,一旦 tunnel 成功后,不能再用别的用户名来 samba 了。windows 持续
报错,说同一位置不能接受两个不同用户名,要我先 umount。我好想把能 umount 的都
摘了,还是不行。不知道是否需要清一下某个 cache。好在用户不会有这个问题。
第三个问题就是笔记本了:一旦断链接,那些使用 samba 的程序有的会有不可预见的后
果。比如说 matlab 就死掉了。好在 desktop 不会有这个问题。
各位觉得用 ssh 来 samba 犯得上么?
【在 s*c 的大作中提到】
: 楼主我试验了 完全可行。
: 但前提是139端口要关闭.
: http://www.blisstonia.com/eolson/notes/smboverssh.php
: 用myentunnel 所有都在幕后。 用户是透明的。 这样只有ssh端口开放。
: 其实 可以认为ssh的port forward就是一个vpn 只不过就vpn一个口子而已.
|
s*c
发帖数: 3 | 12 1.不知楼主的139如何绑定 到loop口? 我试验的好像只要在一个口上禁用netbios
over tcp.所有的nic都被禁用了。
2. ssh forward samba 我觉得犯不上吧。
除非你samba上放的明文的东西 担心被偷。 本身samba访问的验证是不传输明文密码
的。
3.不知道楼主说的混乱和攻击频繁是什么意思?
3.1我觉得可以用一些 集中式管理的病毒软件。就算给普通用户local admin 的权
限。他也无法disable病毒程序。我们以前用trend,感觉对木马杀的一般。但用户卸载
是需要通过server端。
3.2 我们以前是有个audit的程序。三个月 就要运行一下。生成一个报表自动
upload. 如果你没通过audit,比如硬盘没有加密。某些软件没有安装 病毒库没有更新
。 上次运行杀毒太久。 那么你的manager就会被mail通知到。 和KPI挂钩的. 大家
都不敢马虎。 关于一些软件无法audit的。比如laotop要锁在桌子上。桌面上没有任
何泄密的资料等等。这些需要你的同事给你签名。
3.3至于攻击。如果是内部的攻击。可以在一些 |
A**********e
发帖数: 3102 | 13 多谢多谢 :)
我是把 dest.server:139 ssh tunnel 到 windows loop adaptor 的 IP 上的,好像文
件共享不受影响,因为 windows loop adaptor 和 localhost 的 IP 不同。
至于想 ssh forward samba,是想尽量在 firewall 上少开洞,而且这样所有的攻击都
可以在 sshd 上看到。
嗯,让我查查比较现成的 script/program 来自动识别攻击并封锁对方的 IP。过去的学
校的 IT 很强,所以自己不用太操心,server 被攻击后不久 IT 就能发现并且处理。现
在这个学校的 IT 就是一团糟,什么都得自己操心,呵呵。
sniffer
【在 s*c 的大作中提到】
: 1.不知楼主的139如何绑定 到loop口? 我试验的好像只要在一个口上禁用netbios
: over tcp.所有的nic都被禁用了。
: 2. ssh forward samba 我觉得犯不上吧。
: 除非你samba上放的明文的东西 担心被偷。 本身samba访问的验证是不传输明文密码
: 的。
: 3.不知道楼主说的混乱和攻击频繁是什么意思?
: 3.1我觉得可以用一些 集中式管理的病毒软件。就算给普通用户local admin 的权
: 限。他也无法disable病毒程序。我们以前用trend,感觉对木马杀的一般。但用户卸载
: 是需要通过server端。
: 3.2 我们以前是有个audit的程序。三个月 就要运行一下。生成一个报表自动
|
