17 Jul
2015
17 Jul
'15
2:22 p.m.
No taky přispěju,
mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina tipovačů
na mých cca 6 strojích. Nevidím v tom ideový problém.
Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč jsem
zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro jistotu),
ale dlouhá a uložená v keepass kdyby něco.
Dan
pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar(a)zazen-nudu.cz>
napsal:
Dovolím si sepsat moje zkušenosti:
K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od
začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se
každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali
po pár pokusech, ti horší to zkoušeli i několik hodin.
Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné
IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem
přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit
konzole z VPSadminu :-D
Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro
všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10
minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných
pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,
dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.
Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích
obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v
konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný
port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!
Z mé strany tedy můžu změnu SSH portu jen doporučit.
Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Přesunutí portu určitě funguje. Jinak než
blacklisty je lepší povolit
SSH jen z IP adres ze kterých se pripojuješ (pokud je
to možné) nebo
alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí autorizace
heslem, tak tam stejně zůstavá problém s tím že spousta botů i na SSH
server který akceptuje jen klíče stejně zkouší hesla a akorát tím zabíjejí
CPU.
A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.
Odesláno z iPhonu
17. 7. 2015 v 14:53, Pavel Snajdr <snajpa(a)snajpa.net>et>:
> Ahoj,
>
> paradoxne presne prave to reseni, ktere toho podle tebe neresi moc je
presne
to nejucinnejsi, co na tenhle problem existuje. Je uplne zbytecne
plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere se ani nepbtezuji
to zkouset jinde nez na 22 tcp, nebo nedejboze jeste 1022.
>
> Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu
ssh
jinam je srabarna, nic neresi, nebo ze to neni ani trochu zabezpecovani.
>
> /snajpa
>
> Sent from your iPad
>
>> On 16 Jul 2015, at 21:07, Lukáš Šembera <semberal(a)gmail.com> wrote:
>>
>> Ahoj,
>>
>> chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute
force
utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci
varovani, ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu
o pristup na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a
nasledovalo zdeseni:
>>
>> [root@home ~]# cat /var/log/secure | grep Failed | wc -l
>> 21302
>>
>> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
zmenit
SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
DenyHosts, fail2ban apod.
>>
>> Jsem v administraci serveru zacatecnik, tak by me zajimaly vase
nazory,
jak se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list