
<!DOCTYPE html>

<html>

<head>

<title></title>

</head>

<body><div>Od přesunutí SSH na nestandardní port prakticky všechny pokusy zmizely. Je to podle mne #1 bezpečnostní opatření, kterým začínám na jakékoli nové mašine.<br></div>

<div> </div>

<div>JS<br></div>

<div> </div>

<div> </div>

<div>Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal napsal:<br></div>

<blockquote type="cite"><div dir="ltr"><div><div><div>No taky přispěju, <br></div>

<div> </div>

<div>mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina tipovačů na mých cca 6 strojích. Nevidím v tom ideový problém.<br></div>

</div>

<div>Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč jsem zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro jistotu), ale dlouhá a uložená v keepass kdyby něco.<br></div>

<div> </div>

</div>

<div>Dan<br></div>

</div>

<div> </div>

<div><div dir="ltr">pá 17. 7. 2015 v 16:01 odesílatel Jan B. <<a href="mailto:janbivoj.kolar@zazen-nudu.cz">janbivoj.kolar@zazen-nudu.cz</a>> napsal:<br></div>

<blockquote style="margin-top:0px;margin-right:0px;margin-bottom:0px;margin-left:0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204, 204, 204);padding-left:1ex;"><div>Dovolím si sepsat moje zkušenosti:<br></div>

<div> </div>

<div>

K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od<br></div>

<div>

začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se<br></div>

<div>

každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali<br></div>

<div>

po pár pokusech, ti horší to zkoušeli i několik hodin.<br></div>

<div> </div>

<div>

Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné<br></div>

<div>

IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem<br></div>

<div>

přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit<br></div>

<div>

konzole z VPSadminu :-D<br></div>

<div> </div>

<div>

Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro<br></div>

<div>

všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10<br></div>

<div>

minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných<br></div>

<div>

pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,<br></div>

<div>

dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.<br></div>

<div> </div>

<div>

Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích<br></div>

<div>

obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v<br></div>

<div>

konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný<br></div>

<div>

port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!<br></div>

<div> </div>

<div>

Z mé strany tedy můžu změnu SSH portu jen doporučit.<br></div>

<div> </div>

<div> </div>

<div>

Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:<br></div>

<div>

> Přesunutí portu určitě funguje. Jinak než blacklisty je lepší povolit SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí autorizace heslem, tak tam stejně zůstavá problém s tím že spousta botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a akorát tím zabíjejí CPU.<br></div>

<div>

><br></div>

<div>

> A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.<br></div>

<div>

><br></div>

<div>

> Odesláno z iPhonu<br></div>

<div>

><br></div>

<div>

> 17. 7. 2015 v 14:53, Pavel Snajdr <<a href="mailto:snajpa@snajpa.net">snajpa@snajpa.net</a>>:<br></div>

<div>

><br></div>

<div>

> > Ahoj,<br></div>

<div>

> ><br></div>

<div>

> > paradoxne presne prave to reseni, ktere toho podle tebe neresi moc je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze jeste 1022.<br></div>

<div>

> ><br></div>

<div>

> > Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu zabezpecovani.<br></div>

<div>

> ><br></div>

<div>

> > /snajpa<br></div>

<div>

> ><br></div>

<div>

> > Sent from your iPad<br></div>

<div>

> ><br></div>

<div>

> >> On 16 Jul 2015, at 21:07, Lukáš Šembera <<a href="mailto:semberal@gmail.com">semberal@gmail.com</a>> wrote:<br></div>

<div>

> >><br></div>

<div>

> >> Ahoj,<br></div>

<div>

> >><br></div>

<div>

> >> chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani, ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo zdeseni:<br></div>

<div>

> >><br></div>

<div>

> >> [root@home ~]# cat /var/log/secure | grep Failed | wc -l<br></div>

<div>

> >> 21302<br></div>

<div>

> >><br></div>

<div>

> >> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts, fail2ban apod.<br></div>

<div>

> >><br></div>

<div>

> >> Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak se s timto vyporadavate vy. Predem diky!<br></div>

<div>

> >><br></div>

<div>

> >> S pozdravem<br></div>

<div>

> >> Lukas Sembera<br></div>

<div>

> >> _______________________________________________<br></div>

<div>

> >> Community-list mailing list<br></div>

<div>

> >> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>

<div>

> >> <a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>

<div>

> > _______________________________________________<br></div>

<div>

> > Community-list mailing list<br></div>

<div>

> > <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>

<div>

> > <a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>

<div>

> _______________________________________________<br></div>

<div>

> Community-list mailing list<br></div>

<div>

> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>

<div>

> <a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>

<div> </div>

<div>

_______________________________________________<br></div>

<div>

Community-list mailing list<br></div>

<div> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>

<div> <a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>

</blockquote></div>

<div><u>_______________________________________________</u><br></div>

<div>Community-list mailing list<br></div>

<div><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div>

<div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div>

</blockquote><div> </div>

</body>

</html>