Re: [vpsFree.cz: community-list] Brute-force utok na SSH

Od přesunutí SSH na nestandardní port prakticky všechny pokusy zmizely. Je to podle mne #1 bezpečnostní opatření, kterým začínám na jakékoli nové mašine. JS Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal napsal: K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali po pár pokusech, ti horší to zkoušeli i několik hodin. Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit konzole z VPSadminu :-D Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10 minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly, dokonce to některé banované adresy po 24 hodinách zkoušeli znovu. Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný port. A světe div se, od té doby ani jeden jediný pokus o přihlášení! Z mé strany tedy můžu změnu SSH portu jen doporučit. Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200: > Přesunutí portu určitě funguje. Jinak než blacklisty je lepší povolit > SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo > alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí > autorizace heslem, tak tam stejně zůstavá problém s tím že spousta > botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a > akorát tím zabíjejí CPU. > > A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking. > > Odesláno z iPhonu > > 17. 7. 2015 v 14:53, Pavel Snajdr <snajpa(a)snajpa.net>et>: > > > Ahoj, > > > > paradoxne presne prave to reseni, ktere toho podle tebe neresi moc > > je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne > > zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere > > se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze > > jeste 1022. > > > > Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu > > ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu > > zabezpecovani. > > > > /snajpa > > > > Sent from your iPad > > > >> On 16 Jul 2015, at 21:07, Lukáš Šembera <semberal(a)gmail.com> wrote: > > >> Ahoj, > > >> chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute > >> force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 > >> instanci varovani, ze od posledniho uspesneho prihlaseni probehlo > >> desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo, > >> podival jsem se do logu a nasledovalo zdeseni: > > >> [root@home ~]# cat /var/log/secure | grep Failed | wc -l > >> 21302 > > >> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje > >> zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci > >> DenyHosts, fail2ban apod. > > >> Jsem v administraci serveru zacatecnik, tak by me zajimaly vase > >> nazory, jak se s timto vyporadavate vy. Predem diky! > > >> S pozdravem > >> Lukas Sembera > >> _______________________________________________ > >> Community-list mailing list > >> Community-list(a)lists.vpsfree.cz > >> http://lists.vpsfree.cz/listinfo/community-list > > _______________________________________________ > > Community-list mailing list > > Community-list(a)lists.vpsfree.cz > > http://lists.vpsfree.cz/listinfo/community-list > _______________________________________________ > Community-list mailing list > Community-list(a)lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list