<div dir="ltr"><div><div>No taky přispěju, <br><br>mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina tipovačů na mých cca 6 strojích. Nevidím v tom ideový problém.<br><br></div>Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč jsem zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro jistotu), ale dlouhá a uložená v keepass kdyby něco.<br><br></div>Dan<br></div><br><div class="gmail_quote"><div dir="ltr">pá 17. 7. 2015 v 16:01 odesílatel Jan B. <<a href="mailto:janbivoj.kolar@zazen-nudu.cz">janbivoj.kolar@zazen-nudu.cz</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dovolím si sepsat moje zkušenosti:<br>
<br>
K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od<br>
začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se<br>
každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali<br>
po pár pokusech, ti horší to zkoušeli i několik hodin.<br>
<br>
Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné<br>
IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem<br>
přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit<br>
konzole z VPSadminu :-D<br>
<br>
Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro<br>
všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10<br>
minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných<br>
pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,<br>
dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.<br>
<br>
Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích<br>
obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v<br>
konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný<br>
port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!<br>
<br>
Z mé strany tedy můžu změnu SSH portu jen doporučit.<br>
<br>
<br>
Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:<br>
> Přesunutí portu určitě funguje. Jinak než blacklisty je lepší povolit SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí autorizace heslem, tak tam stejně zůstavá problém s tím že spousta botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a akorát tím zabíjejí CPU.<br>
><br>
> A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.<br>
><br>
> Odesláno z iPhonu<br>
><br>
> 17. 7. 2015 v 14:53, Pavel Snajdr <<a href="mailto:snajpa@snajpa.net" target="_blank">snajpa@snajpa.net</a>>:<br>
><br>
> > Ahoj,<br>
> ><br>
> > paradoxne presne prave to reseni, ktere toho podle tebe neresi moc je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze jeste 1022.<br>
> ><br>
> > Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu zabezpecovani.<br>
> ><br>
> > /snajpa<br>
> ><br>
> > Sent from your iPad<br>
> ><br>
> >> On 16 Jul 2015, at 21:07, Lukáš Šembera <<a href="mailto:semberal@gmail.com" target="_blank">semberal@gmail.com</a>> wrote:<br>
> >><br>
> >> Ahoj,<br>
> >><br>
> >> chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani, ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo zdeseni:<br>
> >><br>
> >> [root@home ~]# cat /var/log/secure | grep Failed | wc -l<br>
> >> 21302<br>
> >><br>
> >> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts, fail2ban apod.<br>
> >><br>
> >> Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak se s timto vyporadavate vy. Predem diky!<br>
> >><br>
> >> S pozdravem<br>
> >> Lukas Sembera<br>
> >> _______________________________________________<br>
> >> Community-list mailing list<br>
> >> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
> >> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
> > _______________________________________________<br>
> > Community-list mailing list<br>
> > <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
> > <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
> _______________________________________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
<br>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div>