Používání nestandardních portů je tak trochu přežitek. To když už, tak spíš použít port knocking. Jinak u SSH (ale i dalších služeb) se mi nejvíc osvědčil fail2ban plus samozřejmně ssh klíče. Hesla jsou OK, dokud jsou bezpečná (http://xkcd.com/936/ :) ).
Chroot tam, kde to má smysl, atd. Ale hlavně si uvědomte, že nejvíc útoků, jak už bylo řečeno, není na "systémové" služby, ale na aplikace, především na ty rozšířené (Wordpress, Joomla, ownCloud, různé *wiki, atd, atd..), takže řešit bezpečnost má smysl především tam.
-miky
2013/11/27 Vít Novák vit.novak@firepanel.cz:
Ahoj,
co se týče SSH, tak osobně preferuji zakázat přihlášení na root a zavést SSH klíče a ty jednou za čas aktualizovat. :-)
Vítek
Dne 27. listopadu 2013 20:38 "Ing. Lukáš Jelínek - AIKEN" lukas@aiken.cz napsal(a):
Ahoj, hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě horší.
Lukáš Jelínek
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz +420 607 008 510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= =iQ1w -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list