
<p dir="ltr">Tiez nie je od veci zakazat prihlasenie roota v sshd. Nekonecnym pokusom o prihlasenie to sice nezabrani, ale moze to zachranit ludi, ktori si tych botov vsimnu az po dlhsej dobe...ako napriklad ja.</p>

<p dir="ltr">Vdaka za tuto diskusiu. Bez nej by mi tie spiny este asi dlho nespozorovane sypali login requesty.</p>

<p dir="ltr">Peter<br>

</p>

<div class="gmail_quote">On Jul 17, 2015 5:56 PM, "Jirka Bourek" <<a href="mailto:vpsfree-list@keroub.cz">vpsfree-list@keroub.cz</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Přesun SSH na jiný port není _bezpečnostní_ opatření. Bezpečnostní opatření jsou třeba silná hesla nebo (dá-li se použít) zakázané používání hesel apod. Když si někdo vyhlédne konkrétní server, přesun na jiný port ničemu nepomůže, protože útočník si ten port najde.<br>

<br>

Přesun na jiný port zabrání falešným poplachům, zbytečnému vytěžování stroje a plnění logů, to ano. Ale nazývat to bezpečnostním opatřením, to akorát nahrává tomu, že někdo méně zkušený změní port a bude v klidu, i když má rootovské heslo toor.<br>

<br>

Jindřich Sadílek wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Od přesunutí SSH na nestandardní port prakticky všechny pokusy zmizely.<br>

Je to podle mne #1 bezpečnostní opatření, kterým začínám na jakékoli<br>

nové mašine.<br>

<br>

JS<br>

<br>

<br>

Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal napsal:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

No taky přispěju,<br>

<br>

mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina<br>

tipovačů na mých cca 6 strojích. Nevidím v tom ideový problém.<br>

Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč<br>

jsem zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro<br>

jistotu), ale dlouhá a uložená v keepass kdyby něco.<br>

<br>

Dan<br>

<br>

pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar@zazen-<br>

<a href="http://nudu.cz" rel="noreferrer" target="_blank">nudu.cz</a>> napsal:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Dovolím si sepsat moje zkušenosti:<br>

<br>

<br>

</blockquote></blockquote>

K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

po pár pokusech, ti horší to zkoušeli i několik hodin.<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

<br>

</blockquote></blockquote>

Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

konzole z VPSadminu :-D<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

<br>

</blockquote></blockquote>

Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

<br>

</blockquote></blockquote>

Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

<br>

</blockquote></blockquote>

Z mé strany tedy můžu změnu SSH portu jen doporučit.<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

<br>

<br>

</blockquote></blockquote>

Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

Přesunutí portu určitě funguje. Jinak než blacklisty je lepší povolit<br>

SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo<br>

alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí<br>

autorizace heslem, tak tam stejně zůstavá problém s tím že spousta<br>

botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a<br>

akorát tím zabíjejí CPU.<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

Odesláno z iPhonu<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

17. 7. 2015 v 14:53, Pavel Snajdr <<a href="mailto:snajpa@snajpa.net" target="_blank">snajpa@snajpa.net</a>>:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

Ahoj,<br>

<br>

<br>

<br>

paradoxne presne prave to reseni, ktere toho podle tebe neresi moc<br>

je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne<br>

zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere<br>

se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze<br>

jeste 1022.<br>

<br>

<br>

<br>

Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu<br>

ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu<br>

zabezpecovani.<br>

<br>

<br>

<br>

/snajpa<br>

<br>

<br>

<br>

Sent from your iPad<br>

<br>

<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On 16 Jul 2015, at 21:07, Lukáš Šembera <<a href="mailto:semberal@gmail.com" target="_blank">semberal@gmail.com</a>> wrote:<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Ahoj,<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute<br>

force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7<br>

instanci varovani, ze od posledniho uspesneho prihlaseni probehlo<br>

desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo,<br>

podival jsem se do logu a nasledovalo zdeseni:<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

[root@home ~]# cat /var/log/secure | grep Failed | wc -l<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

21302<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje<br>

zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci<br>

DenyHosts, fail2ban apod.<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Jsem v administraci serveru zacatecnik, tak by me zajimaly vase<br>

nazory, jak se s timto vyporadavate vy. Predem diky!<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

S pozdravem<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Lukas Sembera<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

_______________________________________________<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Community-list mailing list<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>

</blockquote>

<br>

_______________________________________________<br>

<br>

Community-list mailing list<br>

<br>

<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>

<br>

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>

<br>

</blockquote>

_______________________________________________<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

Community-list mailing list<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote>

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

<br>

</blockquote></blockquote>

_______________________________________________<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

</blockquote></blockquote>

Community-list mailing list<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>

</blockquote>

_________________________________________________<br>

Community-list mailing list <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>

</blockquote>

<br>

<br>

<br>

_______________________________________________<br>

Community-list mailing list<br>

<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>

<br>

</blockquote>

_______________________________________________<br>

Community-list mailing list<br>

<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>

</blockquote></div>