Re: [vpsFree.cz: community-list] Brute-force utok na SSH

Od přesunutí SSH na nestandardní port prakticky všechny pokusy zmizely. Je to podle mne #1 bezpečnostní opatření, kterým začínám na jakékoli nové mašine. JS Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal napsal: K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali po pár pokusech, ti horší to zkoušeli i několik hodin. Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit konzole z VPSadminu :-D Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10 minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly, dokonce to některé banované adresy po 24 hodinách zkoušeli znovu. Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný port. A světe div se, od té doby ani jeden jediný pokus o přihlášení! Z mé strany tedy můžu změnu SSH portu jen doporučit. Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200: > Přesunutí portu určitě funguje. Jinak než blacklisty je lepší povolit > SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo > alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí > autorizace heslem, tak tam stejně zůstavá problém s tím že spousta > botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a > akorát tím zabíjejí CPU. > > A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking. > > Odesláno z iPhonu > > 17. 7. 2015 v 14:53, Pavel Snajdr <snajpa(a)snajpa.net>et>: > >> Ahoj, >> paradoxne presne prave to reseni, ktere toho podle tebe neresi moc >> je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne >> zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere >> se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze >> jeste 1022. >> Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu >> ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu >> zabezpecovani. >> /snajpa >> Sent from your iPad >>> On 16 Jul 2015, at 21:07, Lukáš Šembera <semberal(a)gmail.com> wrote: >>>> Ahoj, >>>> chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute >>> force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 >>> instanci varovani, ze od posledniho uspesneho prihlaseni probehlo >>> desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo, >>> podival jsem se do logu a nasledovalo zdeseni: >>>> [root@home ~]# cat /var/log/secure | grep Failed | wc -l >>> 21302 >>>> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje >>> zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci >>> DenyHosts, fail2ban apod. >>>> Jsem v administraci serveru zacatecnik, tak by me zajimaly vase >>> nazory, jak se s timto vyporadavate vy. Predem diky! >>>> S pozdravem >>> Lukas Sembera >>> _______________________________________________ >>> Community-list mailing list >>> Community-list(a)lists.vpsfree.cz >>> http://lists.vpsfree.cz/listinfo/community-list >> _______________________________________________ >> Community-list mailing list >> Community-list(a)lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list > _______________________________________________ > Community-list mailing list > Community-list(a)lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list _______________________________________________ Community-list mailing list Community-list(a)lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list