[問答] ssh 可以鎖 MAC address 嗎?
最近開始測試把樹莓派公開到公網上
也試試網路上有多少變態 XD
一天不到就被破了
沒啦,是我用 default user name & password XD
pi/raspberry
改了這個後,沒再被破過了
不過長期來說,我們要把設備賣到客戶那邊
十天半個月長期跑,也不是沒風險
我們產品用不到 ssh, ssh 是我方便自己用的
所以我就想,設個白名單,開放我筆電的 MAC address 就好
查下去發現我搞錯了,白名單只有開 IP
而我筆電可能去任何地方掛單,不保證 IP 啊!
為什麼我會想到 MAC address? 就隱隱覺得有,和其他功能搞錯了
(我的無線 AP 是有,那是說連上我的 ssid/password 時,可以限定 MAC)
不過我這台可是樹莓派,跑 linux 咧
又不是不能寫程式的 AP
linux 真的沒有鎖 MAC address 的大絕可以放嗎?
或這也不算大絕,別人冒充我的 MAC 就可以了?
這種無聊的人應該很少吧!
--------------
如果沒有,或我學不會
替代方案就是我會用 line 和客戶聯絡,把我當下的 IP 給客戶
再請客戶替我開這個 IP 的白名單(當然我會設計在 UI 上)
只好這樣了
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.204.139.167 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Network/M.1595656332.A.EDB.html
※ 編輯: HuangJC (123.204.139.167 臺灣), 07/25/2020 13:53:40
噓
07/25 14:32,
3年前
, 1F
07/25 14:32, 1F
你是說,在層層轉發之下,不會再有我的 MAC address 這個細節?
推
07/25 15:40,
3年前
, 2F
07/25 15:40, 2F
→
07/25 15:41,
3年前
, 3F
07/25 15:41, 3F
推
07/25 15:48,
3年前
, 4F
07/25 15:48, 4F
→
07/25 15:48,
3年前
, 5F
07/25 15:48, 5F
→
07/26 02:45,
3年前
, 6F
07/26 02:45, 6F
今天回頭看很基礎的東西了,突然發覺我誤會什麼是 ethernet 了
我一直以為無線叫 wifi, 有線有很久以前的同軸,或我出社會起就用的 RJ-45
(有些事我沒從頭參與啊,我一開始接觸網路就是 RJ-45 訊號線了)
而其中 RJ-45 這種線叫 ethernet
原來不是啊,目前看到比較能算區隔的是說
802.5 是 token ring
802.3 是 CSMA/CD;而這個才叫 ethernet
會回頭看這個是因為我同事提醒我,MAC address 是存在於 ethernet
(那問題來了,tkoen ring 我看過粗淺的說明,本來也算理解了,
就是同一時間只有一台電腦持有 token
那這種技術不必有 MAC address ?
wiki 這麼寫:傳送資料時會由掌握權杖的電腦先傳送資料。
接收資料的電腦會檢查影格表頭,若是送給自己的則處理之。
無論是否是送給自己的,都會再傳下去,
檢查資料是不是送給自己的,這件事不必用到 address 觀念?它不叫 MAC address?)
→
07/26 14:17,
3年前
, 7F
07/26 14:17, 7F
沒,我本來以為,通訊協定雖然我讀不完
但基本上就是一層層一直包起來,另一邊是一層層一直解開來
所以 MAC address 會包在最裡面
現在讀到說 MAC address 並沒包在最裡面
那這招當然無效了
回過頭來說,我們先不講通訊協定是要背的,就說怎麼制定的好了
(我也曾經和客戶制定過我們比較高層的協定
基本上就是模仿自知名協定,夠我們用就好
比如一開始只定 baud rate,後來發現資料會掉
於是再加上封包長度,封包重送,封包的 CRC 檢測等等)
為什麼 MAC address 不是被包在裡面?這才是問題
無論如何別人已經訂了,那我只好遵從,不可能自己搞一套和大家不相容的
推
07/26 15:07,
3年前
, 8F
07/26 15:07, 8F
→
07/26 15:07,
3年前
, 9F
07/26 15:07, 9F
VPN 想過,但我連目前這問題都要重建觀念了
未學跑前不能飛,所以還不能架
而且還有成本考量
不要搞一個把我利潤都吃掉的東西 :P
其實自從設好 login password 後,就都沒人來破了
暫時我就偏安在此 :P
想過暴力點,把 ssh 整個關掉
sudo service sshd stop
從此不用擔心,也是不錯的 XD
(我很不長進嗎?我從昨晚到現在還沒睡;我必需先點我用得到的技能樹啊..)
這是使用層級上的關閉風險
但還有從系統漏洞的,是嗎?
比如光用瀏覽器去看個網路上的 jpeg 照片
都有人可以被打開後門拿走 root
(我很懷疑我有沒有看錯啊!這也是問題的話,那不是防不勝防?)
※ 編輯: HuangJC (49.216.228.116 臺灣), 07/27/2020 09:23:10
> 為什麼 MAC address 不是被包在裡面?
會不會是沒有利用價值,能少傳一個 byte 就要少傳一個 byte?
反正不需要把 MAC address 包在層層封包裡,也都把 internet 設計完了
而且如果保留這個細節,隱私權就被洩漏更多?
※ 編輯: HuangJC (49.216.228.116 臺灣), 07/27/2020 09:31:03
→
07/27 11:18,
3年前
, 10F
07/27 11:18, 10F
→
07/27 11:19,
3年前
, 11F
07/27 11:19, 11F
→
07/27 11:20,
3年前
, 12F
07/27 11:20, 12F
》前題是你改改sshd ,ssh client
我突然想通這點;我以前就是曾和客戶自訂 protocol 的
因此 mac 不外傳,但我自己寫一個外傳的當然可以
但就別改在 ssh/sshd 了,要就另寫一個
不然我所改的 ssh 將會無法和別人電腦溝通
我可以用自訂的 ssh(比如叫 ssh1)去做這些事
》若真的想安全,是直接拔網路線跟電源線
沒這麼糟,我們的目標是取代 PLC,PLC 是很成熟的產品,但貴
而 RPI 可跑 linux,是太過於強大
我們賣客戶的不是"電腦",而是包裝成 PLC 的形式
簡單說,除了我們程式,什麼都不給執行
客戶連自己敲 linux 命令列的權限都沒有
所以比如亂安裝軟體,亂逛網路
這些事都沒機會發生
就好像銀行 ATM,它可能是 embeded win 寫出來的
但我絕不允許你在 ATM 前面連上網路亂執行其他東西
剝奪你所有權限,所以其實還是很安全的
如果要提醒我什麼,頂多跟我說我哪裡有漏洞,沒剝奪乾淨..
但我就是這個不許做,那個不許做..管死死 XD
推
07/27 21:17,
3年前
, 13F
07/27 21:17, 13F
哈哈,這什麼 XD
哇,感謝關鍵字提供,真的可以 XDDDD
蠻好玩的
→
07/27 21:47,
3年前
, 14F
07/27 21:47, 14F
→
07/27 21:51,
3年前
, 15F
07/27 21:51, 15F
→
07/27 21:53,
3年前
, 16F
07/27 21:53, 16F
對對對,你好像懂我的意思了
我可以背'到了gateway就被拆包裝換掉了'這件事;死背就好
我只是在好奇為什麼這樣做,而不是包一層拆一層的做法
(就好像我不是在探討法律,而是在質疑立法精神了,層次又再高一點)
通常做這種質疑只會得到一個結論:
你來訂就可以訂自己喜歡的,但現在不是你來訂,去別人的地方就要照別人的規矩
那我就摸摸鼻子記下來
----
我也希望可以大賺錢,到時各位教導的大恩大德,就可以擺桌相謝了... T^T
→
07/28 07:46,
3年前
, 17F
07/28 07:46, 17F
→
07/28 07:48,
3年前
, 18F
07/28 07:48, 18F
→
07/28 07:49,
3年前
, 19F
07/28 07:49, 19F
→
07/28 07:51,
3年前
, 20F
07/28 07:51, 20F
→
07/28 07:52,
3年前
, 21F
07/28 07:52, 21F
本來把我的封包再加外層去寄送就好
但今天有個快遞是會拆掉我的封包,把來源 MAC 地址改掉
所以我只好猜,這快遞是嫌再包會太大包,所以替我做主拆了
至於 IP address 就沒被拆,只是私網到公網時有拆一下
畢竟我的私網 IP 見不得人,人家看著私網 IP 往回寄也沒意義
像這樣我就懂
私網裡的 IP 見不得人,會重覆
(通常是 192.168.0.x ,大家都一樣啊,公開沒有唯一性)
但私網裡的 MAC address, 不至於見不得人吧!
(我同學才剛跟我說 MAC address 用不完,不用操心)
還是說,其實 MAC address 會用完,要用假的 MAC address
理論基礎和 IP 也一樣,所以有私網內的假 MAC address ?
※ 編輯: HuangJC (49.216.228.116 臺灣), 07/28/2020 08:41:45
→
07/28 10:28,
3年前
, 22F
07/28 10:28, 22F
→
07/28 10:33,
3年前
, 23F
07/28 10:33, 23F
→
07/28 10:34,
3年前
, 24F
07/28 10:34, 24F
→
07/28 10:36,
3年前
, 25F
07/28 10:36, 25F
→
07/28 10:37,
3年前
, 26F
07/28 10:37, 26F
→
07/28 10:39,
3年前
, 27F
07/28 10:39, 27F
→
07/28 10:39,
3年前
, 28F
07/28 10:39, 28F
→
07/28 10:39,
3年前
, 29F
07/28 10:39, 29F
→
07/28 12:33,
3年前
, 30F
07/28 12:33, 30F
→
07/28 12:33,
3年前
, 31F
07/28 12:33, 31F
→
07/28 12:34,
3年前
, 32F
07/28 12:34, 32F
→
07/28 12:35,
3年前
, 33F
07/28 12:35, 33F
我也不想浪費你的時間
開個價位,給錢上課也 OK
反正我會回報給老闆,叫他付錢
推
08/01 09:10,
3年前
, 34F
08/01 09:10, 34F
我同學在工研院,問他這個他一樣不會
真的是樹葉有專攻 XD
好啦,學無止境,感謝大家的幫忙
know how 這種東西,就是說穿不值錢
老闆壓搾我時也很不客氣
能告訴我一個價位也好
就算我錢不付,但人情是記在心裡的
也可以回嗆老闆:別以為這些不值錢,我可是到處被人酸才學到這些東西..
※ 編輯: HuangJC (101.12.172.162 臺灣), 08/24/2020 22:08:11
→
08/26 04:03,
3年前
, 35F
08/26 04:03, 35F
那就是拒絕的意思,你本來就有權力拒絕
但總比罵人好多了
萬一你要又教,我又給不起,照我的說法是欠下這百萬級的人情
你是要我屁眼給你嘛
那這人情我真的欠不起了
推
08/29 10:51,
3年前
, 36F
08/29 10:51, 36F
→
08/29 10:51,
3年前
, 37F
08/29 10:51, 37F
→
08/29 10:51,
3年前
, 38F
08/29 10:51, 38F
我曾是廠商端(做 MODEM,網路卡的公司)
我那時就有在用假 mac 了
但我會覺得廠商是特權,排除廠商不這麼胡搞的
主要是我同學說 MAC 夠定址全世界的沙... 根本不用擔心
哈,我被他誤導了
他說的是 L3 隔開後重覆使用,才有法子定址全世界的沙
→
08/29 20:51,
3年前
, 39F
08/29 20:51, 39F
→
08/29 20:52,
3年前
, 40F
08/29 20:52, 40F
→
08/29 20:55,
3年前
, 41F
08/29 20:55, 41F
正好我有機會試試
我看一下客戶留給我的門關了沒..
試完,失敗了 XD
目前客戶 IP 為 114.34.18.x (x 是馬賽克 XD ;給他們留點隱私)
固定式 IP,可連入 (別人不能連,因為我把輸入密碼的機制關了)
其實我的問題已經解決了,前面有網友教我這招,成功了,感謝~
不過既然你又重提挖 tunnel,這是我之前試過失敗的,來重試
客戶 IP 其實接的是一台 AP
以內部 port fowrard 導向一台樹莓派
然後我開一台電腦,以手機上網
內網 IP 是 172.20.10.3
然後精采的來了
ssh -R 23:172.20.10.3:22 pi@114.34.18.x
這意思是,借用 114.34.18.x 的 port 23, 導向回 172.20.10.3 的 port 22
接著 ssh me@114.34.18.x -p 23
其實我是想登回自己私網內的電腦,帳號 me
... 失敗 XD
這招利用公網 IP,使得私網 IP 也借用出去公開的招式,我還是練不起來 :P
※ 編輯: HuangJC (175.97.53.17 臺灣), 09/07/2020 19:14:46
tunnel 我不是完全沒成功過
但那時,幫我當 tunnel 主機的,是 RPI
現在是 AP 背後的 RPI
隔了一層,我還真搔不到癢處了
推
09/07 21:21,
3年前
, 42F
09/07 21:21, 42F
你說對了,但我有想到,也加了
port 23 轉 port 23
https://imgur.com/y2tC69y
但我仍然失敗了
我還記得你說你會用兩台 RPI 來解
我就想:是不是把 AP 換掉,叫一台 RPI 當 AP
這樣我能做的事可多了
但會有其他問題啦,老闆已經買好 AP 了,不臭罵才有鬼
然後 RPI 又不是專做 AP 的,效率其實不好
如果技術是這樣做,那我知道了,只能謝謝
但考量後不會用 RPI 取代 AP XD
※ 編輯: HuangJC (123.204.216.79 臺灣), 09/07/2020 22:11:23
→
09/08 12:28,
3年前
, 43F
09/08 12:28, 43F
→
09/08 20:10,
3年前
, 44F
09/08 20:10, 44F
→
09/08 20:10,
3年前
, 45F
09/08 20:10, 45F
→
09/08 20:12,
3年前
, 46F
09/08 20:12, 46F
推
09/08 23:47,
3年前
, 47F
09/08 23:47, 47F
→
09/08 23:47,
3年前
, 48F
09/08 23:47, 48F
推
09/09 08:39,
3年前
, 49F
09/09 08:39, 49F
→
09/09 08:42,
3年前
, 50F
09/09 08:42, 50F
→
09/09 08:44,
3年前
, 51F
09/09 08:44, 51F
推
09/11 02:23,
3年前
, 52F
09/11 02:23, 52F
→
09/11 20:06,
3年前
, 53F
09/11 20:06, 53F
→
09/11 20:08,
3年前
, 54F
09/11 20:08, 54F
→
09/11 20:08,
3年前
, 55F
09/11 20:08, 55F
→
09/11 20:54,
3年前
, 56F
09/11 20:54, 56F
→
09/11 20:54,
3年前
, 57F
09/11 20:54, 57F
→
09/11 20:54,
3年前
, 58F
09/11 20:54, 58F
※ 編輯: HuangJC (117.19.205.111 臺灣), 09/11/2020 20:55:20
1。剛出院
2。GatewayPorts 剛開了
3。仍然失敗
4。LAA? Licensed Assisted Access?
→
09/16 16:37,
3年前
, 59F
09/16 16:37, 59F
XDDDDDD
心情好複雜,好像有個東西我們要把它當唯一了,結果又搞了個虛擬把它包起來
算了,道高一尺魔高一丈,這種事不會停止的
※ 編輯: HuangJC (123.204.216.79 臺灣), 09/17/2020 00:04:15