作者HuangJC (吹笛牧童)
看板Network
标题[问答] ssh 可以锁 MAC address 吗?
时间Sat Jul 25 13:52:10 2020
最近开始测试把树莓派公开到公网上
也试试网路上有多少变态 XD
一天不到就被破了
没啦,是我用 default user name & password XD
pi/raspberry
改了这个後,没再被破过了
不过长期来说,我们要把设备卖到客户那边
十天半个月长期跑,也不是没风险
我们产品用不到 ssh, ssh 是我方便自己用的
所以我就想,设个白名单,开放我笔电的 MAC address 就好
查下去发现我搞错了,白名单只有开 IP
而我笔电可能去任何地方挂单,不保证 IP 啊!
为什麽我会想到 MAC address? 就隐隐觉得有,和其他功能搞错了
(我的无线 AP 是有,那是说连上我的 ssid/password 时,可以限定 MAC)
不过我这台可是树莓派,跑 linux 咧
又不是不能写程式的 AP
linux 真的没有锁 MAC address 的大绝可以放吗?
或这也不算大绝,别人冒充我的 MAC 就可以了?
这种无聊的人应该很少吧!
--------------
如果没有,或我学不会
替代方案就是我会用 line 和客户联络,把我当下的 IP 给客户
再请客户替我开这个 IP 的白名单(当然我会设计在 UI 上)
只好这样了
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.204.139.167 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1595656332.A.EDB.html
※ 编辑: HuangJC (123.204.139.167 台湾), 07/25/2020 13:53:40
1F:嘘 fredwei1031: 只要跨网段来访问 mac address都是同一个好吗?07/25 14:32
你是说,在层层转发之下,不会再有我的 MAC address 这个细节?
2F:推 birdy590: MAC address 过 router 就没了07/25 15:40
3F:→ birdy590: 锁 IP 是一定要的 还担心可以换个 port07/25 15:41
4F:推 dennisxkimo: ssh 很多pam可以强化 例如2fa 或是失败次数锁定时间07/25 15:48
5F:→ dennisxkimo: ,另外可以加强制凭证 有凭证才能进来07/25 15:48
6F:→ AndCycle: 麻烦网路 layer 2/ layer 3 是什麽看一下 ...07/26 02:45
今天回头看很基础的东西了,突然发觉我误会什麽是 ethernet 了
我一直以为无线叫 wifi, 有线有很久以前的同轴,或我出社会起就用的 RJ-45
(有些事我没从头参与啊,我一开始接触网路就是 RJ-45 讯号线了)
而其中 RJ-45 这种线叫 ethernet
原来不是啊,目前看到比较能算区隔的是说
802.5 是 token ring
802.3 是 CSMA/CD;而这个才叫 ethernet
会回头看这个是因为我同事提醒我,MAC address 是存在於 ethernet
(那问题来了,tkoen ring 我看过粗浅的说明,本来也算理解了,
就是同一时间只有一台电脑持有 token
那这种技术不必有 MAC address ?
wiki 这麽写:传送资料时会由掌握权杖的电脑先传送资料。
接收资料的电脑会检查影格表头,若是送给自己的则处理之。
无论是否是送给自己的,都会再传下去,
检查资料是不是送给自己的,这件事不必用到 address 观念?它不叫 MAC address?)
7F:→ asdfghjklasd: 可以锁 mac address ,前题是你改改sshd ,ssh client07/26 14:17
没,我本来以为,通讯协定虽然我读不完
但基本上就是一层层一直包起来,另一边是一层层一直解开来
所以 MAC address 会包在最里面
现在读到说 MAC address 并没包在最里面
那这招当然无效了
回过头来说,我们先不讲通讯协定是要背的,就说怎麽制定的好了
(我也曾经和客户制定过我们比较高层的协定
基本上就是模仿自知名协定,够我们用就好
比如一开始只定 baud rate,後来发现资料会掉
於是再加上封包长度,封包重送,封包的 CRC 检测等等)
为什麽 MAC address 不是被包在里面?这才是问题
无论如何别人已经订了,那我只好遵从,不可能自己搞一套和大家不相容的
8F:推 jack82822005: 你乾脆在固定IP上架个VPN,透过VPN再ssh到你的派07/26 15:07
9F:→ jack82822005: 是说凭证登入是基本的吧?XD07/26 15:07
VPN 想过,但我连目前这问题都要重建观念了
未学跑前不能飞,所以还不能架
而且还有成本考量
不要搞一个把我利润都吃掉的东西 :P
其实自从设好 login password 後,就都没人来破了
暂时我就偏安在此 :P
想过暴力点,把 ssh 整个关掉
sudo service sshd stop
从此不用担心,也是不错的 XD
(我很不长进吗?我从昨晚到现在还没睡;我必需先点我用得到的技能树啊..)
这是使用层级上的关闭风险
但还有从系统漏洞的,是吗?
比如光用浏览器去看个网路上的 jpeg 照片
都有人可以被打开後门拿走 root
(我很怀疑我有没有看错啊!这也是问题的话,那不是防不胜防?)
※ 编辑: HuangJC (49.216.228.116 台湾), 07/27/2020 09:23:10
> 为什麽 MAC address 不是被包在里面?
会不会是没有利用价值,能少传一个 byte 就要少传一个 byte?
反正不需要把 MAC address 包在层层封包里,也都把 internet 设计完了
而且如果保留这个细节,隐私权就被泄漏更多?
※ 编辑: HuangJC (49.216.228.116 台湾), 07/27/2020 09:31:03
10F:→ asdfghjklasd: 去搞懂OSI/ISO 模型,跟网路运作原理07/27 11:18
11F:→ asdfghjklasd: 若简单想了解,去看CCNA07/27 11:19
12F:→ asdfghjklasd: 若真的想安全,是直接拔网路线跟电源线07/27 11:20
》前题是你改改sshd ,ssh client
我突然想通这点;我以前就是曾和客户自订 protocol 的
因此 mac 不外传,但我自己写一个外传的当然可以
但就别改在 ssh/sshd 了,要就另写一个
不然我所改的 ssh 将会无法和别人电脑沟通
我可以用自订的 ssh(比如叫 ssh1)去做这些事
》若真的想安全,是直接拔网路线跟电源线
没这麽糟,我们的目标是取代 PLC,PLC 是很成熟的产品,但贵
而 RPI 可跑 linux,是太过於强大
我们卖客户的不是"电脑",而是包装成 PLC 的形式
简单说,除了我们程式,什麽都不给执行
客户连自己敲 linux 命令列的权限都没有
所以比如乱安装软体,乱逛网路
这些事都没机会发生
就好像银行 ATM,它可能是 embeded win 写出来的
但我绝不允许你在 ATM 前面连上网路乱执行其他东西
剥夺你所有权限,所以其实还是很安全的
如果要提醒我什麽,顶多跟我说我哪里有漏洞,没剥夺乾净..
但我就是这个不许做,那个不许做..管死死 XD
13F:推 b325019: 你ssh可以关掉密码登入只用key07/27 21:17
哈哈,这什麽 XD
哇,感谢关键字提供,真的可以 XDDDD
蛮好玩的
14F:→ blackbox: 网路架构出是一层包一层,收也是一层拆一层。07/27 21:47
15F:→ blackbox: mac addr在第二层,但是网际网路是在第三层07/27 21:51
16F:→ blackbox: mac addr只到区网层级,到了gateway就被拆包装换掉了07/27 21:53
对对对,你好像懂我的意思了
我可以背'到了gateway就被拆包装换掉了'这件事;死背就好
我只是在好奇为什麽这样做,而不是包一层拆一层的做法
(就好像我不是在探讨法律,而是在质疑立法精神了,层次又再高一点)
通常做这种质疑只会得到一个结论:
你来订就可以订自己喜欢的,但现在不是你来订,去别人的地方就要照别人的规矩
那我就摸摸鼻子记下来
----
我也希望可以大赚钱,到时各位教导的大恩大德,就可以摆桌相谢了... T^T
17F:→ blackbox: 分层目的就是让上层可以无视下层的细节,彼此独立运作07/28 07:46
18F:→ blackbox: 上层不管下层怎麽包,反正送的到就好07/28 07:48
19F:→ blackbox: 下层也不看上层的内容,直接打包07/28 07:49
20F:→ blackbox: 就好像你网购只选怎麽收货,实际上怎麽来的不用管07/28 07:51
21F:→ blackbox: 有可能今天黑猫送,明天邮差送。反正都可以收到07/28 07:52
本来把我的封包再加外层去寄送就好
但今天有个快递是会拆掉我的封包,把来源 MAC 地址改掉
所以我只好猜,这快递是嫌再包会太大包,所以替我做主拆了
至於 IP address 就没被拆,只是私网到公网时有拆一下
毕竟我的私网 IP 见不得人,人家看着私网 IP 往回寄也没意义
像这样我就懂
私网里的 IP 见不得人,会重覆
(通常是 192.168.0.x ,大家都一样啊,公开没有唯一性)
但私网里的 MAC address, 不至於见不得人吧!
(我同学才刚跟我说 MAC address 用不完,不用操心)
还是说,其实 MAC address 会用完,要用假的 MAC address
理论基础和 IP 也一样,所以有私网内的假 MAC address ?
※ 编辑: HuangJC (49.216.228.116 台湾), 07/28/2020 08:41:45
22F:→ blackbox: 你的包裹写送到某地址(IP),然後丢给管理员(Gateway)07/28 10:28
23F:→ blackbox: 管理员找最近的邮局寄件,代理人写他(mac)07/28 10:33
24F:→ blackbox: 邮局交给邮差,寄件单位为邮局(ip),负责人为柜员(mac)07/28 10:34
25F:→ blackbox: 邮差(mac)送到分点(ip),交给下一个邮差07/28 10:36
26F:→ blackbox: 一直这样下去,到指定地址为止07/28 10:37
27F:→ blackbox: 你的包裹上面一直有写地址(dest ip),也一直传下去,但07/28 10:39
28F:→ blackbox: 中间经手人(mac)会一直换07/28 10:39
29F:→ blackbox: 甚至每次经手的都不同人,但是你只关注有没有收到而已07/28 10:39
30F:→ fonzae: 还可以跟这种人讨论那麽多篇喔07/28 12:33
31F:→ fonzae: 绕来绕去就是SSL VPN07/28 12:33
32F:→ fonzae: 想用SSH 达成转发效果,你怎麽不去研究SSL VPN呢?07/28 12:34
33F:→ fonzae: 还在那边公网 私网,浪费众人时间07/28 12:35
我也不想浪费你的时间
开个价位,给钱上课也 OK
反正我会回报给老板,叫他付钱
34F:推 youtuuube000: 未看先猜一定有人回答VPN08/01 09:10
我同学在工研院,问他这个他一样不会
真的是树叶有专攻 XD
好啦,学无止境,感谢大家的帮忙
know how 这种东西,就是说穿不值钱
老板压搾我时也很不客气
能告诉我一个价位也好
就算我钱不付,但人情是记在心里的
也可以回呛老板:别以为这些不值钱,我可是到处被人酸才学到这些东西..
※ 编辑: HuangJC (101.12.172.162 台湾), 08/24/2020 22:08:11
35F:→ asdfghjklasd: 你要我给你可以做的方案我会收个100,000USD08/26 04:03
那就是拒绝的意思,你本来就有权力拒绝
但总比骂人好多了
万一你要又教,我又给不起,照我的说法是欠下这百万级的人情
你是要我屁眼给你嘛
那这人情我真的欠不起了
36F:推 b325019: 当然可以有重复的mac,vmware在OUI也才注册6段,你觉得这08/29 10:51
37F:→ b325019: 6段有可能够全世界虚拟机用吗,只要用L3隔开之後你里面怎08/29 10:51
38F:→ b325019: 麽玩问题不大08/29 10:51
我曾是厂商端(做 MODEM,网路卡的公司)
我那时就有在用假 mac 了
但我会觉得厂商是特权,排除厂商不这麽胡搞的
主要是我同学说 MAC 够定址全世界的沙... 根本不用担心
哈,我被他误导了
他说的是 L3 隔开後重覆使用,才有法子定址全世界的沙
39F:→ blackbox: 概念一直很简单阿,由你们提供主机连入08/29 20:51
40F:→ blackbox: 连入後直接打洞,你再从主机端进入08/29 20:52
41F:→ blackbox: 这样客户端没有开服务的安全问题08/29 20:55
正好我有机会试试
我看一下客户留给我的门关了没..
试完,失败了 XD
目前客户 IP 为 114.34.18.x (x 是马赛克 XD ;给他们留点隐私)
固定式 IP,可连入 (别人不能连,因为我把输入密码的机制关了)
其实我的问题已经解决了,前面有网友教我这招,成功了,感谢~
不过既然你又重提挖 tunnel,这是我之前试过失败的,来重试
客户 IP 其实接的是一台 AP
以内部 port fowrard 导向一台树莓派
然後我开一台电脑,以手机上网
内网 IP 是 172.20.10.3
然後精采的来了
ssh -R 23:172.20.10.3:22
[email protected]
这意思是,借用 114.34.18.x 的 port 23, 导向回 172.20.10.3 的 port 22
接着 ssh
[email protected] -p 23
其实我是想登回自己私网内的电脑,帐号 me
... 失败 XD
这招利用公网 IP,使得私网 IP 也借用出去公开的招式,我还是练不起来 :P
※ 编辑: HuangJC (175.97.53.17 台湾), 09/07/2020 19:14:46
tunnel 我不是完全没成功过
但那时,帮我当 tunnel 主机的,是 RPI
现在是 AP 背後的 RPI
隔了一层,我还真搔不到痒处了
42F:推 blackbox: 因为你没有把AP的PORT23转给RPI09/07 21:21
你说对了,但我有想到,也加了
port 23 转 port 23
https://imgur.com/y2tC69y
但我仍然失败了
我还记得你说你会用两台 RPI 来解
我就想:是不是把 AP 换掉,叫一台 RPI 当 AP
这样我能做的事可多了
但会有其他问题啦,老板已经买好 AP 了,不臭骂才有鬼
然後 RPI 又不是专做 AP 的,效率其实不好
如果技术是这样做,那我知道了,只能谢谢
但考量後不会用 RPI 取代 AP XD
※ 编辑: HuangJC (123.204.216.79 台湾), 09/07/2020 22:11:23
43F:→ blackbox: 开port请抓一千以上,避开常用的以免怎麽挂都不知道09/08 12:28
44F:→ blackbox: 刚刚试玩,还有GatewayPorts这设定要开09/08 20:10
45F:→ blackbox: 不然预设-R只开给localhost09/08 20:10
46F:→ blackbox: 反正这些都是小细节,没实际摸不会碰到09/08 20:12
47F:推 b325019: 要mac不重复喔?ipv4 32bit,v6 128bit,现行mac也才48biit09/08 23:47
48F:→ b325019: 大概再过个几年就换mac要改格式了09/08 23:47
49F:推 blackbox: mac addr回收再利用比较没问题,所以不急09/09 08:39
50F:→ blackbox: 就算是同一家的设备,也只有1600万分之一的机率重复09/09 08:42
51F:→ blackbox: 而且一般都是循序编号,至少要出个千万台才遇的到09/09 08:44
52F:推 birdy590: 现在很多都改用 LAA 了... LAN 里重号的机率低的可以09/11 02:23
53F:→ HuangJC: 住院中,被惯老板操到肺炎确诊,看到有回应好感动09/11 20:06
54F:→ HuangJC: 所以开gateway ports 就确定可行;或顶多再见招拆招解问09/11 20:08
55F:→ HuangJC: 题,总之固定ip 接ap,再转接至rpi一定可行,是吧!谢谢09/11 20:08
56F:→ HuangJC: 查过 gateway port 设定了,原来是指 sshd config 里09/11 20:54
57F:→ HuangJC: 的设定;可是我跨公网测试失败,之前在家私网测试都成功09/11 20:54
58F:→ HuangJC: 说,我那时可没设;得再回想了,病床上无法测09/11 20:54
※ 编辑: HuangJC (117.19.205.111 台湾), 09/11/2020 20:55:20
1。刚出院
2。GatewayPorts 刚开了
3。仍然失败
4。LAA? Licensed Assisted Access?
59F:→ birdy590: locally administered address 09/16 16:37
XDDDDDD
心情好复杂,好像有个东西我们要把它当唯一了,结果又搞了个虚拟把它包起来
算了,道高一尺魔高一丈,这种事不会停止的
※ 编辑: HuangJC (123.204.216.79 台湾), 09/17/2020 00:04:15