Как отключить SSH и потом включить через PHP?

Question

[Treal]

Приветствую.
Суть в вопросе.

Есть панелька VESTA CP без возможности ON/OFF sshd процесса. Как реализовать такое, что можно было убить процесс и при авторизации по PHP можно было включить процесс?

Спасибо

Answer 1

[Армянское Радио]

Для безопасности лучше всего иметь скрипт (на bash), который будет по таймеру смотреть наличие специального файлика или записи в базе, и соответствующим образом включать/выключать сервер. Таким образом, даже если PHP будет скомпрометирован, никуда больше злоумышленник не попадет.

Comments

[Treal]

работы ежедневные, но в целях безопасности хотелось бы убивать процесс и врубать когда надо работать.

[Армянское Радио]

Treal: Так команда service это и делает. И отчитывается вызвавшему процессу об успехе и неудаче. На самом деле ssh с ключем 4096 бит надежнее самопальной админки на PHP.

[m0rd]

по cron'у раз в минуту проверка наличия признака включить/выключить сервер

[Армянское Радио]

m0rd: Я это и предлагал :-)

[m0rd]

Да я так и понял, просто автор вопроса, похоже, не понял, вот я и написал подробнее

Answer 2

[index0h]

Можете поступить по хардкору: удалять .ssh/authorised_keys для гостевого пользователя, через которого будет происходить авторизация. Саму авторизацию по паролю - запретить, порт sshd повесить на не стандартный. А по запросу - добавлять ключ этого пользователя. В такой ситуации sshd отключать нет смысла. + К тому настроить iptables на прием отправку только с доверенных ip

Просто отключая sshd вы с вероятностью 99% выстрелите себе в ногу разрывным патроном

Answer 3

[Виталий Яковенко]

Возможно что-то вроде:
shell_exec("service ssh stop")
shell_exec("service ssh start")
Правда, что делать с запросом рут-прав я не придумал.

Comments

[Treal]

Он точно потом поднимет процесс?

[Виталий Яковенко]

Откуда мне знать? =) Кстати, вариант Армянское Радио мне и правда больше нравится, чем shell_exec.

[index0h]

Рисковый вы парень))

[Виталий Яковенко]

index0h: что есть то есть. У меня с этим проблемы.

Answer 4

[SagePtr]

Ещё можно Port Knocking: https://wiki.archlinux.org/index.php/Port_Knocking
Но не как основную защиту, а дополнительно к авторизации по ключу.

Answer 5

[Dealaxer]

Сделайте доступ по IP, и ничего отключать не надо.