[решено] ssh безопасность
sango 15 февраля, 2013 - 02:27
доброго времени суток.
сегодня в messages обнаружил выхлоп от sshd, весьма меня заинтересовавший
конкретно: на протяжении чуть меньше 3 недель некто (может быть их и не сколько) пытается вломиться ко мне по ssh.
лог достаточно длинный, 40 метров.
http://timothysango.chickenkiller.com/pub/ssh.7z
вопросы: на сколько это безопасно? грозит ли это взломом? следует ли с этим что-либо сделать?
»
- Для комментирования войдите или зарегистрируйтесь
Обычный брутфорс с перебором
Обычный брутфорс с перебором имен и паролей. Очередной юнец начитался журналов, скачал прогу и чувствует себя хакером.
Поставь пороль посложнее аля @Dm1n4MyC0mp#, проверь какие службы какие порты открывают на вход, закрой ненужные и забей.
Если ломают целенаправленно и регулярно то есть смысл дропать пакеты с исходящих ip. В логах они есть.
Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)
вчера проверял - открыто
вчера проверял - открыто только 4 порта
творю непотребства и потом жалуюсь на форуме, ибо gentoo позволяет, since 2009
ИМХО, за возможность
ИМХО, за возможность логиниться снаружи под рутом по паролю на боевые сервера надо долго бить по рукам тех, кто сервера конфижил. Как вариант: переносим sshd на нестандартный порт, убираем возможность логина под рутом в принципе, и возможность логина по паролю тоже.
.
Тогда уж скорее за оставление парольной авторизации в принципе.
:wq
--
Live free or die
По-хорошему, да. Поэтому и
По-хорошему, да. Поэтому и посоветовал ТС ее убрать.
за возможность логиниться
обоснуй , пожалуйста .
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
root брутфорсится.
root брутфорсится.
FuckToReal написал(а): root
и ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
И фсе, уже хватает.
И фсе, уже хватает.
т.е аргументов нет, кроме как
т.е аргументов нет, кроме как прочитанного 20 лет назад мнения
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
аргумент прост и очевиден.
аргумент прост и очевиден. назови ситуацию, когда ssh логин под рутом необходим?
стало быть раз это не необходимо, значит с точки зрения безопасности — уязвимость.
практически, это еще и удобно в плане автобана: тот, кто хочет рут — однозначно враг.
Эх, ладно флейм, так флейм.
Эх, ладно флейм, так флейм. Ты действительно не понимаешь/не знаешь, почему не стоит оставлять потенциальные дырки? Ну да ладно.
ЧОрт! Откуды ты знаешь, что читать я начал в 3 года?!;-) Это не просто мнение, а самая настоящая уязвимость. Думаю не надо объяснять, почему пару логин-пароль подбирать сложнее, чем только пароль? А root таки существует в любой системе. Ну и это только один из способов, который реализовать проще всего. Еще с ходу приходят на ум кейлогеры и перехват трафика (ЕМНИП, аутентификация идет плейнтекстом в ssh?) Да и вообще, "говорила мне мама, не сиди под рутом".
Цитата: Еще с ходу приходят
Вы уж АТМТУ-то не говорите такую. Не FTP все-таки.
Да, чего-то я перегнул. Был
Да, чего-то я перегнул. Был пьян, дико извиняюсь.
Прикалываешься? Или поменял
Прикалываешься?
Или поменял только название должности, а мышление осталось девелоперским?..
при отключении логина по
при отключении логина по паролю аутентификация происходит только через RSA?
творю непотребства и потом жалуюсь на форуме, ибо gentoo позволяет, since 2009
распарсить лог по ключевым
распарсить лог по ключевым словам (типа 'invalid user', 'authentication error'), внести адреса в drop-табличку.
если прописать это дело в кронтаб, можно оную табличку регулярно обновлять.
там порядка 110 ip адресов
там порядка 110 ip адресов
творю непотребства и потом жалуюсь на форуме, ибо gentoo позволяет, since 2009
sango написал(а): там порядка
ipset'у пофик и на 2 порядка больше
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Я, конечно, всегда говорил,
Я, конечно, всегда говорил, что iptables - для извращенцев, но подозреваю, что с таблицей в сотню адресов он справится. Для ipfw, по-крайней мере, это не цифра.
я уверен, что это один и тот
я уверен, что это один и тот же человек балуется, просто либо через прокси ныкается, либо ip меняет.
на самом деле я акцентировал внимание на том, что этот некто может и еще ip себе "наштамповать", а следить за ситуацией мне лениво... я, конечно, могу автоматизировать процесс, но все равно лень...
для меня закрытие вообще ssh снаружи или блокирование на вечно/длительное время отдельных сегментов сети не выход, ибо хотелось бы оставить для себя доступ на всякий случай. всякое бывает.
сейчас поставил банхамер, возможно позже сменю порт.
творю непотребства и потом жалуюсь на форуме, ибо gentoo позволяет, since 2009
* net-analyzer/fail2ban
* net-analyzer/fail2ban Available versions: 0.8.6 ~0.8.6-r1 ~0.8.7.1 0.8.8 {{selinux}} Homepage: http://www.fail2ban.org/ Description: Bans IP that make too many password failuresспс, посмотрю
спс, посмотрю
творю непотребства и потом жалуюсь на форуме, ибо gentoo позволяет, since 2009
Ко мне тоже пионэры ломятся.
Ко мне тоже пионэры ломятся. Порт нестандартный, но это для хорошего сканера сети не вопрос. Так что данный рецепт не работает. Мысль о запрете парольной авторизации на внешнем порту ссх весьма здравая, ибо паролик максимум символов 50(мой коллега шахматист исползует для этого одно из не очень популярных начал) а ключик несколько тысяч символов. Тем не менее пионэры - люди весьма настойчивые и логи постоянно пополняются, так что данный рецепт добавляет спокойствия, но не решает проблему полностью. Как уже было указано - fail2ban весьма логичное решение. В случаях редко используемых портов (к коим скорее всего относится и ваш ssh) заслуживает внимание метод сокрытия портов при помощи net-misc/knock
>net-misc/knock +1 Хотелось
>net-misc/knock
+1
Хотелось бы добавить, что «ненахождение» быдлохацкером открытого порта «на месте» может сподвигнуть его на сканирование портов, а это вроде как и ни к чему. Возможно использование дополнительных, достаточно жестких правил (например на основе limit / recent ) и обход оных (для целевого использования) с как раз с помощью knock. Таким образом «со стороны» все выглядит на невнимательный взгляд почти как обычно.
всем спасибо, поставил
всем спасибо, поставил fail2ban
творю непотребства и потом жалуюсь на форуме, ибо gentoo позволяет, since 2009