16 Jul
2015
16 Jul
'15
7:07 p.m.
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force
utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani,
ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup
na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo
zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit
SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts,
fail2ban apod.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak
se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
16 Jul
16 Jul
7:13 p.m.
Ahoj,
a nemůžeš použít ověřování za pomoci klíčů místo hesla?
Jinak mě osobně změna portu velmi pomohla. Většinou po mě šli ale jen boti,
zkusili se párkrát připojit a pak to vzdali (žádných XX tisic). Po změně
portu žádné útoky.
Honza
Dne 16. 7. 2015 21:08 napsal uživatel "Lukáš Šembera"
<semberal(a)gmail.com>om>:
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force
utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani,
ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup
na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo
zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit
SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts,
fail2ban apod.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory,
jak se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
7:18 p.m.
Overovani pomoci klice mam, ale pro jistotu mam povolene i heslo, kdybych
ztratil PK. Faktem ale asi je, ze bych to heslo zakazat mohl.
LS
2015-07-16 21:13 GMT+02:00 Jan Bivoj Kolář <janbivoj.kolar(a)zazen-nudu.cz>cz>:
Ahoj,
a nemůžeš použít ověřování za pomoci klíčů místo hesla?
Jinak mě osobně změna portu velmi pomohla. Většinou po mě šli ale jen
boti, zkusili se párkrát připojit a pak to vzdali (žádných XX tisic). Po
změně portu žádné útoky.
Honza
Dne 16. 7. 2015 21:08 napsal uživatel "Lukáš Šembera" <semberal(a)gmail.com
:
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force
utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani,
ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup
na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo
zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit
SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts,
fail2ban apod.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory,
jak se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
7:24 p.m.
Klíč si ulož někam na zálohu :-) V případě nouze se přece dá připojit přes
konzoli ve vpsadmin.
Nebo zkus poladit nastavení fail2ban. Myslím, že se tam dá nastavit, že
třeba po 10 pokusech ban na 10 minut, po dalších 10 pokusech ban na 60
minut, atd.
Jinak sorry za chyby, tukam to na telefonu :-)
Dne 16. 7. 2015 21:18 napsal uživatel "Lukáš Šembera"
<semberal(a)gmail.com>om>:
Overovani pomoci klice mam, ale pro jistotu mam
povolene i heslo, kdybych
ztratil PK. Faktem ale asi je, ze bych to heslo zakazat mohl.
LS
2015-07-16 21:13 GMT+02:00 Jan Bivoj Kolář <janbivoj.kolar(a)zazen-nudu.cz>cz>:
Ahoj,
a nemůžeš použít ověřování za pomoci klíčů místo hesla?
Jinak mě osobně změna portu velmi pomohla. Většinou po mě šli ale jen
boti, zkusili se párkrát připojit a pak to vzdali (žádných XX tisic). Po
změně portu žádné útoky.
Honza
Dne 16. 7. 2015 21:08 napsal uživatel "Lukáš Šembera" <semberal(a)gmail.com
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
:
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force
utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani,
ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup
na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo
zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
DenyHosts, fail2ban apod.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory,
jak se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
7:29 p.m.
Jasne, diky za tip! Zakazal jsem heslo a uz je 10 minut klid, tak snad
dobry :)
LS
2015-07-16 21:24 GMT+02:00 Jan Bivoj Kolář <janbivoj.kolar(a)zazen-nudu.cz>cz>:
Klíč si ulož někam na zálohu :-) V případě nouze se
přece dá připojit
přes konzoli ve vpsadmin.
Nebo zkus poladit nastavení fail2ban. Myslím, že se tam dá nastavit, že
třeba po 10 pokusech ban na 10 minut, po dalších 10 pokusech ban na 60
minut, atd.
Jinak sorry za chyby, tukam to na telefonu :-)
Dne 16. 7. 2015 21:18 napsal uživatel "Lukáš Šembera" <semberal(a)gmail.com
:
Overovani pomoci klice mam, ale pro jistotu mam povolene i heslo, kdybych
ztratil PK. Faktem ale asi je, ze bych to heslo
zakazat mohl.
LS
2015-07-16 21:13 GMT+02:00 Jan Bivoj Kolář <janbivoj.kolar(a)zazen-nudu.cz>
:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
a nemůžeš použít ověřování za pomoci klíčů místo hesla?
Jinak mě osobně změna portu velmi pomohla. Většinou po mě šli ale jen
boti, zkusili se párkrát připojit a pak to vzdali (žádných XX tisic). Po
změně portu žádné útoky.
Honza
Dne 16. 7. 2015 21:08 napsal uživatel "Lukáš Šembera" <
semberal(a)gmail.com>gt;:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute
force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci
varovani, ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu
o pristup na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a
nasledovalo zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
DenyHosts, fail2ban apod.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory,
jak se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
8:37 p.m.
2015-07-16 21:07 GMT+02:00 Lukáš Šembera <semberal(a)gmail.com>om>:
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force
utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani,
ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup
na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo
zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit
SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts,
fail2ban apod.
Ja odporucam fail2ban. Mam tam tusim 3 neuspesne pokusy a dostanu sa
do jailu 24 hodin (alebo nejak tak som to nastavoval).
Postacuje to celkom luxusne a nastavenie trva 30 sekund.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak
se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
17 Jul
17 Jul
9:02 a.m.
Cus, co vsetko odporucas ponastavovat za tych 30 sekund? :)
Tomas
On 16 Jul 2015, at 22:37, Branislav Blaskovic
<branislav(a)blaskovic.sk> wrote:
2015-07-16 21:07 GMT+02:00 Lukáš Šembera <semberal(a)gmail.com>om>:
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force
utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani,
ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup
na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo
zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit
SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts,
fail2ban apod.
Ja odporucam fail2ban. Mam tam tusim 3 neuspesne pokusy a dostanu sa
do jailu 24 hodin (alebo nejak tak som to nastavoval).
Postacuje to celkom luxusne a nastavenie trva 30 sekund.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak
se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
11:38 a.m.
2015-07-17 11:02 GMT+02:00 Tomas Meszaros <meszaros(a)advice.sk>sk>:
Cus, co vsetko odporucas ponastavovat za tych 30
sekund? :)
Na internete najdes bzilion tutorialov a examplov.
Kazdopadne, ak ta teda zaujima ssh hlavne, tak:
/etc/fail2ban/jail.d/sshd.local:
[ssh-iptables]
enabled = true
filter = sshd # je to pouzity filter z /etc/fail2ban/filter.d, su
nejake preddefinovane a funguju ok
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = /var/log/secure
maxretry = 3 # pocet spatnych pokusov, po ktorych udeli ban
bantime = 12345 # pocet sekund
A nastartuje service.
S tymto zakladom zijem nejaky ten rok a nemozem sa stazovat. Nie je to
urcite vsemozne, ale staci.
Zoznam nestastnikov si vies vylistovat z iptables: $ iptables -L
Brano
Tomas
On 16 Jul 2015, at 22:37, Branislav Blaskovic
<branislav(a)blaskovic.sk> wrote:
2015-07-16 21:07 GMT+02:00 Lukáš Šembera <semberal(a)gmail.com>om>:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force
utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani,
ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup
na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo
zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit
SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts,
fail2ban apod.
Ja odporucam fail2ban. Mam tam tusim 3 neuspesne pokusy a dostanu sa
do jailu 24 hodin (alebo nejak tak som to nastavoval).
Postacuje to celkom luxusne a nastavenie trva 30 sekund.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak
se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
12:53 p.m.
Ahoj,
paradoxne presne prave to reseni, ktere toho podle tebe neresi moc je presne to
nejucinnejsi, co na tenhle problem existuje. Je uplne zbytecne plnit nejake blacklisty
cinskymi a ukrajinskymi IP, ktere se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo
nedejboze jeste 1022.
Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu ssh jinam je
srabarna, nic neresi, nebo ze to neni ani trochu zabezpecovani.
/snajpa
Sent from your iPad
On 16 Jul 2015, at 21:07, Lukáš Šembera
<semberal(a)gmail.com> wrote:
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force utoky na SSH.
Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani, ze od posledniho uspesneho
prihlaseni probehlo desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo,
podival jsem se do logu a nasledovalo zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit SSH port (coz
IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts, fail2ban apod.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak se s timto
vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
1:27 p.m.
Přesunutí portu určitě funguje. Jinak než blacklisty je lepší povolit SSH jen z IP adres
ze kterých se pripojuješ (pokud je to možné) nebo alespoň povolit všechny IP bloky svého
ISP. Co se týká vypnutí autorizace heslem, tak tam stejně zůstavá problém s tím že spousta
botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a akorát tím zabíjejí
CPU.
A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.
Odesláno z iPhonu
17. 7. 2015 v 14:53, Pavel Snajdr <snajpa(a)snajpa.net>et>:
Ahoj,
paradoxne presne prave to reseni, ktere toho podle tebe neresi moc je presne to
nejucinnejsi, co na tenhle problem existuje. Je uplne zbytecne plnit nejake blacklisty
cinskymi a ukrajinskymi IP, ktere se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo
nedejboze jeste 1022.
Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu ssh jinam je
srabarna, nic neresi, nebo ze to neni ani trochu zabezpecovani.
/snajpa
Sent from your iPad
On 16 Jul 2015, at 21:07, Lukáš Šembera
<semberal(a)gmail.com> wrote:
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force utoky na SSH.
Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani, ze od posledniho uspesneho
prihlaseni probehlo desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo,
podival jsem se do logu a nasledovalo zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit SSH port (coz
IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts, fail2ban apod.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak se s timto
vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
2:01 p.m.
Dovolím si sepsat moje zkušenosti:
K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od
začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se
každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali
po pár pokusech, ti horší to zkoušeli i několik hodin.
Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné
IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem
přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit
konzole z VPSadminu :-D
Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro
všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10
minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných
pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,
dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.
Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích
obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v
konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný
port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!
Z mé strany tedy můžu změnu SSH portu jen doporučit.
Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:
Přesunutí portu určitě funguje. Jinak než blacklisty
je lepší povolit SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo
alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí autorizace heslem, tak tam
stejně zůstavá problém s tím že spousta botů i na SSH server který akceptuje jen klíče
stejně zkouší hesla a akorát tím zabíjejí CPU.
A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.
Odesláno z iPhonu
17. 7. 2015 v 14:53, Pavel Snajdr <snajpa(a)snajpa.net>et>:
Ahoj,
paradoxne presne prave to reseni, ktere toho podle tebe neresi moc je presne to
nejucinnejsi, co na tenhle problem existuje. Je uplne zbytecne plnit nejake blacklisty
cinskymi a ukrajinskymi IP, ktere se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo
nedejboze jeste 1022.
Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu ssh jinam je
srabarna, nic neresi, nebo ze to neni ani trochu zabezpecovani.
/snajpa
Sent from your iPad
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list On 16 Jul 2015, at 21:07, Lukáš Šembera
<semberal(a)gmail.com> wrote:
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force utoky na SSH.
Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani, ze od posledniho uspesneho
prihlaseni probehlo desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo,
podival jsem se do logu a nasledovalo zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit SSH port (coz
IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts, fail2ban apod.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak se s timto
vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
2:22 p.m.
No taky přispěju,
mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina tipovačů
na mých cca 6 strojích. Nevidím v tom ideový problém.
Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč jsem
zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro jistotu),
ale dlouhá a uložená v keepass kdyby něco.
Dan
pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar(a)zazen-nudu.cz>
napsal:
Dovolím si sepsat moje zkušenosti:
K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od
začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se
každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali
po pár pokusech, ti horší to zkoušeli i několik hodin.
Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné
IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem
přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit
konzole z VPSadminu :-D
Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro
všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10
minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných
pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,
dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.
Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích
obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v
konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný
port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!
Z mé strany tedy můžu změnu SSH portu jen doporučit.
Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Přesunutí portu určitě funguje. Jinak než
blacklisty je lepší povolit
SSH jen z IP adres ze kterých se pripojuješ (pokud je
to možné) nebo
alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí autorizace
heslem, tak tam stejně zůstavá problém s tím že spousta botů i na SSH
server který akceptuje jen klíče stejně zkouší hesla a akorát tím zabíjejí
CPU.
A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.
Odesláno z iPhonu
17. 7. 2015 v 14:53, Pavel Snajdr <snajpa(a)snajpa.net>et>:
> Ahoj,
>
> paradoxne presne prave to reseni, ktere toho podle tebe neresi moc je
presne
to nejucinnejsi, co na tenhle problem existuje. Je uplne zbytecne
plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere se ani nepbtezuji
to zkouset jinde nez na 22 tcp, nebo nedejboze jeste 1022.
>
> Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu
ssh
jinam je srabarna, nic neresi, nebo ze to neni ani trochu zabezpecovani.
>
> /snajpa
>
> Sent from your iPad
>
>> On 16 Jul 2015, at 21:07, Lukáš Šembera <semberal(a)gmail.com> wrote:
>>
>> Ahoj,
>>
>> chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute
force
utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci
varovani, ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu
o pristup na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a
nasledovalo zdeseni:
>>
>> [root@home ~]# cat /var/log/secure | grep Failed | wc -l
>> 21302
>>
>> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
zmenit
SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
DenyHosts, fail2ban apod.
>>
>> Jsem v administraci serveru zacatecnik, tak by me zajimaly vase
nazory,
jak se s timto vyporadavate vy. Predem diky!
S pozdravem
Lukas Sembera
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
3:36 p.m.
Od přesunutí SSH na nestandardní port prakticky všechny pokusy zmizely.
Je to podle mne #1 bezpečnostní opatření, kterým začínám na jakékoli
nové mašine.
JS
Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal napsal:
No taky přispěju,
mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina
tipovačů na mých cca 6 strojích. Nevidím v tom ideový problém.
Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč
jsem zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro
jistotu), ale dlouhá a uložená v keepass kdyby něco.
Dan
pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar@zazen-
nudu.cz> napsal:
> Dovolím si sepsat moje zkušenosti:
>
>
K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od
>
začátku používám ověření klíčem a ověření
hesla mám zakázané. Přesto se
>
každý den pokoušel někdo připojit - ti
inteligentnější boti toho nechali
>
po pár pokusech, ti horší to zkoušeli i
několik hodin.
>
>
Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám
pevné
>
IP adresy). Po nějakém čase jsem na to však
zapomněl a tak když jsem
>
přecházel od O2 k Vodafonu, adresy se
změnily a musela mě zachránit
>
konzole z VPSadminu :-D
>
>
Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro
>
všechny a nasadit fail2ban. Měl jsem
nastavené 3 úrovně - ban na 10
>
minut, ban na 1 hodinu a ban na 24 hodin
(vždy po několika špatných
>
pokusech, myslím deseti). I přesto ale
"útoky" stále pokračovaly,
>
dokonce to některé banované adresy po 24
hodinách zkoušeli znovu.
>
>
Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích
>
obtěžovali (použil bych lepší výraz, ale
debata o vyjadřování v
>
konferenci tu už proběhla), tak jsem se
rozhodl přehodit SSH na jiný
>
port. A světe div se, od té doby ani jeden
jediný pokus o přihlášení!
>
>
Z mé strany tedy můžu změnu SSH portu jen doporučit.
>
>
>
Stanislav Petr
píše v Pá 17. 07. 2015 v 15:27 +0200:
>
> Přesunutí portu určitě funguje. Jinak
než blacklisty je lepší povolit
> SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo
> alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí
> autorizace heslem, tak tam stejně zůstavá problém s tím že spousta
> botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a
> akorát tím zabíjejí CPU.
>
>
>
> A pokud si chcete hrát, tak můžete SSH
schovat jeste za port-koncking.
>
>
>
> Odesláno z iPhonu
>
>
>
> 17. 7. 2015 v 14:53, Pavel Snajdr
<snajpa(a)snajpa.net>et>:
>
>
>
> > Ahoj,
>
> >
>
> > paradoxne presne prave to reseni,
ktere toho podle tebe neresi moc
> > je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne
> > zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere
> > se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze
> > jeste 1022.
>
> >
>
> > Netusim, kde se bere ten vseobecne
uznavany nazor, ze odsunuti portu
> > ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu
> > zabezpecovani.
>
> >
>
> > /snajpa
>
> >
>
> > Sent from your iPad
>
> >
>
> >> On 16 Jul 2015, at 21:07,
Lukáš Šembera <semberal(a)gmail.com> wrote:
>
>
>
>
> >>
Ahoj,
>
>
>
>
> >>
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute
> >> force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7
> >> instanci varovani, ze od posledniho uspesneho prihlaseni probehlo
> >> desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo,
> >> podival jsem se do logu a nasledovalo zdeseni:
>
>
>
>
> >>
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
>
> >> 21302
>
>
>
>
> >> Coz
je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
> >> zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
> >> DenyHosts, fail2ban apod.
>
>
>
>
> >>
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase
> >> nazory, jak se s timto vyporadavate vy. Predem diky!
>
>
>
>
> >> S
pozdravem
>
> >> Lukas Sembera
>
> >>
_______________________________________________
>
> >> Community-list mailing list
>
> >>
Community-list(a)lists.vpsfree.cz
>
> >>
http://lists.vpsfree.cz/listinfo/community-list
>
> >
_______________________________________________
>
> > Community-list mailing list
>
> > Community-list(a)lists.vpsfree.cz
>
> >
http://lists.vpsfree.cz/listinfo/community-list
>
>
_______________________________________________
>
> Community-list mailing list
>
> Community-list(a)lists.vpsfree.cz
>
>
http://lists.vpsfree.cz/listinfo/community-list
>
>
_______________________________________________
>
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_________________________________________________
Community-list mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
3:48 p.m.
Přesun SSH na jiný port není _bezpečnostní_ opatření. Bezpečnostní
opatření jsou třeba silná hesla nebo (dá-li se použít) zakázané
používání hesel apod. Když si někdo vyhlédne konkrétní server, přesun na
jiný port ničemu nepomůže, protože útočník si ten port najde.
Přesun na jiný port zabrání falešným poplachům, zbytečnému vytěžování
stroje a plnění logů, to ano. Ale nazývat to bezpečnostním opatřením, to
akorát nahrává tomu, že někdo méně zkušený změní port a bude v klidu, i
když má rootovské heslo toor.
Jindřich Sadílek wrote:
Od přesunutí SSH na nestandardní port prakticky
všechny pokusy zmizely.
Je to podle mne #1 bezpečnostní opatření, kterým začínám na jakékoli
nové mašine.
JS
Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal napsal:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
No taky přispěju,
mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina
tipovačů na mých cca 6 strojích. Nevidím v tom ideový problém.
Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč
jsem zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro
jistotu), ale dlouhá a uložená v keepass kdyby něco.
Dan
pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar@zazen-
nudu.cz> napsal:
> Dovolím si sepsat moje zkušenosti:
>
>
K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od
>
začátku používám ověření klíčem a
ověření hesla mám zakázané. Přesto se
>
každý den pokoušel někdo připojit - ti
inteligentnější boti toho nechali
>
po pár pokusech, ti horší to zkoušeli
i několik hodin.
>
>
Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám
pevné
>
IP adresy). Po nějakém čase jsem na to
však zapomněl a tak když jsem
>
přecházel od O2 k Vodafonu, adresy se
změnily a musela mě zachránit
>
konzole z VPSadminu :-D
>
>
Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro
>
všechny a nasadit fail2ban. Měl jsem
nastavené 3 úrovně - ban na 10
>
minut, ban na 1 hodinu a ban na 24
hodin (vždy po několika špatných
>
pokusech, myslím deseti). I přesto ale
"útoky" stále pokračovaly,
>
dokonce to některé banované adresy po
24 hodinách zkoušeli znovu.
>
>
Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích
>
obtěžovali (použil bych lepší výraz,
ale debata o vyjadřování v
>
konferenci tu už proběhla), tak jsem
se rozhodl přehodit SSH na jiný
>
port. A světe div se, od té doby ani
jeden jediný pokus o přihlášení!
>
>
Z mé strany tedy můžu změnu SSH portu jen doporučit.
>
>
>
Stanislav Petr píše v Pá
17. 07. 2015 v 15:27 +0200:
>
> Přesunutí portu určitě funguje.
Jinak než blacklisty je lepší povolit
> SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo
> alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí
> autorizace heslem, tak tam stejně zůstavá problém s tím že spousta
> botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a
> akorát tím zabíjejí CPU.
>
>
>
> A pokud si chcete hrát, tak můžete
SSH schovat jeste za port-koncking.
>
>
>
> Odesláno z iPhonu
>
>
>
> 17. 7. 2015 v 14:53, Pavel Snajdr
<snajpa(a)snajpa.net>et>:
>
>
>
>> Ahoj,
>
>
>
>> paradoxne presne
prave to reseni, ktere toho podle tebe neresi moc
>> je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne
>> zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere
>> se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze
>> jeste 1022.
>
>
>
>> Netusim, kde se
bere ten vseobecne uznavany nazor, ze odsunuti portu
>> ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu
>> zabezpecovani.
>
>
>
>> /snajpa
>
>
>
>> Sent from your
iPad
>
>
>
>>> On 16 Jul 2015,
at 21:07, Lukáš Šembera <semberal(a)gmail.com> wrote:
>
> >
>
>>>
Ahoj,
>
> >
>
>>>
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute
>>> force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7
>>> instanci varovani, ze od posledniho uspesneho prihlaseni probehlo
>>> desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo,
>>> podival jsem se do logu a nasledovalo zdeseni:
>
> >
>
>>>
[root@home ~]# cat /var/log/secure | grep Failed | wc -l
>
>>> 21302
>
> >
>
>>>
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
>>> zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
>>> DenyHosts, fail2ban apod.
>
> >
>
>>>
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase
>>> nazory, jak se s timto vyporadavate vy. Predem diky!
>
> >
>
>>>
S pozdravem
>
>>> Lukas Sembera
>
>>>
_______________________________________________
>
>>> Community-list mailing
list
>
>>>
Community-list(a)lists.vpsfree.cz
>
>>>
http://lists.vpsfree.cz/listinfo/community-list
>
>>
_______________________________________________
>
>> Community-list mailing list
>
>>
Community-list(a)lists.vpsfree.cz
>
>>
http://lists.vpsfree.cz/listinfo/community-list
>
>
_______________________________________________
>
> Community-list mailing list
>
> Community-list(a)lists.vpsfree.cz
>
>
http://lists.vpsfree.cz/listinfo/community-list
>
>
_______________________________________________
>
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_________________________________________________
Community-list mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
6:23 p.m.
Tiez nie je od veci zakazat prihlasenie roota v sshd. Nekonecnym pokusom o
prihlasenie to sice nezabrani, ale moze to zachranit ludi, ktori si tych
botov vsimnu az po dlhsej dobe...ako napriklad ja.
Vdaka za tuto diskusiu. Bez nej by mi tie spiny este asi dlho nespozorovane
sypali login requesty.
Peter
On Jul 17, 2015 5:56 PM, "Jirka Bourek" <vpsfree-list(a)keroub.cz> wrote:
Přesun SSH na jiný port není _bezpečnostní_ opatření.
Bezpečnostní
opatření jsou třeba silná hesla nebo (dá-li se použít) zakázané používání
hesel apod. Když si někdo vyhlédne konkrétní server, přesun na jiný port
ničemu nepomůže, protože útočník si ten port najde.
Přesun na jiný port zabrání falešným poplachům, zbytečnému vytěžování
stroje a plnění logů, to ano. Ale nazývat to bezpečnostním opatřením, to
akorát nahrává tomu, že někdo méně zkušený změní port a bude v klidu, i
když má rootovské heslo toor.
Jindřich Sadílek wrote:
Od přesunutí SSH na nestandardní port prakticky
všechny pokusy zmizely.
Je to podle mne #1 bezpečnostní opatření, kterým začínám na jakékoli
nové mašine.
JS
Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal napsal:
> Ahoj,
>
> paradoxne presne prave to reseni, ktere toho podle tebe neresi moc
> je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne
> zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere
> se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze
> jeste 1022.
>
> Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu
> ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu
> zabezpecovani.
>
> /snajpa
>
> Sent from your iPad
>
> On 16 Jul 2015, at 21:07, Lukáš Šembera <semberal(a)gmail.com> wrote:
>
>
>>
> Ahoj,
>
>
>>
> chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute
>> force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7
>> instanci varovani, ze od posledniho uspesneho prihlaseni probehlo
>> desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo,
>> podival jsem se do logu a nasledovalo zdeseni:
>
>
>>
> [root@home ~]# cat /var/log/secure | grep Failed | wc -l
>
> 21302
>
>
>>
> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
>> zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
>> DenyHosts, fail2ban apod.
>
>
>>
> Jsem v administraci serveru zacatecnik, tak by me zajimaly vase
>> nazory, jak se s timto vyporadavate vy. Predem diky!
>
>
>>
> S pozdravem
>
> Lukas Sembera
>
> _______________________________________________
>
> Community-list mailing list
>
> Community-list(a)lists.vpsfree.cz
>
> http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________
>
> Community-list mailing list
>
> Community-list(a)lists.vpsfree.cz
>
> http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________
> _______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
No taky přispěju,
mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina
tipovačů na mých cca 6 strojích. Nevidím v tom ideový problém.
Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč
jsem zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro
jistotu), ale dlouhá a uložená v keepass kdyby něco.
Dan
pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar@zazen-
nudu.cz> napsal:
> Dovolím si sepsat moje zkušenosti:
>
>
> K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od
> začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se
> každý den pokoušel někdo připojit - ti inteligentnější boti toho
nechali
> po pár pokusech, ti horší to zkoušeli i několik hodin.
>
> Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám
pevné
> IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem
> přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit
> konzole z VPSadminu :-D
>
> Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro
> všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10
> minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných
> pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,
> dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.
>
> Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích
> obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v
> konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný
> port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!
>
> Z mé strany tedy můžu změnu SSH portu jen doporučit.
>
>
> Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:
Přesunutí portu určitě funguje. Jinak než
blacklisty je lepší povolit
SSH jen z IP adres ze kterých se pripojuješ (pokud je
to možné) nebo
alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí
autorizace heslem, tak tam stejně zůstavá problém s tím že spousta
botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a
akorát tím zabíjejí CPU.
A pokud si chcete hrát, tak můžete SSH schovat
jeste za port-koncking.
Odesláno z iPhonu
17. 7. 2015 v 14:53, Pavel Snajdr
<snajpa(a)snajpa.net>et>:
Community-list mailing list
Community-list(a)lists.vpsfree.cz
> Community-list mailing list
Community-list(a)lists.vpsfree.cz
_________________________________________________
Community-list mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
8:05 p.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
A tohle je prave to slovickareni, proc potom laici maji presun portu
za neco zbytecneho, protoze to preci nezabezpecuje.
Just sayin :)
/snajpa
On 07/17/2015 05:48 PM, Jirka Bourek wrote:
Přesun SSH na jiný port není _bezpečnostní_ opatření.
Bezpečnostní
opatření jsou třeba silná hesla nebo (dá-li se použít) zakázané
používání hesel apod. Když si někdo vyhlédne konkrétní server,
přesun na jiný port ničemu nepomůže, protože útočník si ten port
najde.
Přesun na jiný port zabrání falešným poplachům, zbytečnému
vytěžování stroje a plnění logů, to ano. Ale nazývat to
bezpečnostním opatřením, to akorát nahrává tomu, že někdo méně
zkušený změní port a bude v klidu, i když má rootovské heslo toor.
Jindřich Sadílek wrote:
Od přesunutí SSH na nestandardní port prakticky
všechny pokusy
zmizely. Je to podle mne #1 bezpečnostní opatření, kterým
začínám na jakékoli nové mašine.
JS
Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal
napsal:
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
-----BEGIN PGP
SIGNATURE-----
Version: GnuPG v2
iF4EAREIAAYFAlWpYAQACgkQgRwOVqYrsFVLwwEA16PIzExq5cHgVBBdB+AbP7Vu
X+craniexwUt6tE8hzQBAJVdkc/dK2kf4O4c3sn+3kTM0IK8BdGaqlzLl+NS+rrK
=jzpl
-----END PGP SIGNATURE----- No taky přispěju,
mám SSH na nestandartním portu (pod 1000), tím se vyřešila
většina tipovačů na mých cca 6 strojích. Nevidím v tom ideový
problém. Fail2ban mi haproval (zakazoval mě z firemní sítě) a
místo řešení proč jsem zvolil taktiku přihlašování přes klíče,
ale povolená hesla (pro jistotu), ale dlouhá a uložená v
keepass kdyby něco.
Dan
pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar@zazen-
nudu.cz> napsal:
> Dovolím si sepsat moje zkušenosti:
>
>
K serveru mám přístup pouze já (nebo mnou spravované stroje),
takže od
>
začátku používám ověření klíčem a
ověření hesla mám zakázané.
Přesto se
>
každý den pokoušel někdo připojit -
ti inteligentnější boti toho
nechali
>
po pár pokusech, ti horší to zkoušeli
i několik hodin.
>
>
Jak psal Standa, povolil jsem si SSH jen z "mých"
adres (všude
mám pevné
>
IP adresy). Po nějakém čase jsem na
to však zapomněl a tak když
jsem
>
přecházel od O2 k Vodafonu, adresy se
změnily a musela mě
zachránit
>
konzole z VPSadminu :-D
>
>
Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH
pro
>
všechny a nasadit fail2ban. Měl jsem
nastavené 3 úrovně - ban na
10
>
minut, ban na 1 hodinu a ban na 24
hodin (vždy po několika
špatných
>
pokusech, myslím deseti). I přesto
ale "útoky" stále
pokračovaly,
>
dokonce to některé banované adresy po
24 hodinách zkoušeli
znovu.
>
>
Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o
útocích
>
obtěžovali (použil bych lepší výraz,
ale debata o vyjadřování v
>
konferenci tu už proběhla), tak jsem
se rozhodl přehodit SSH na
jiný
>
port. A světe div se, od té doby ani
jeden jediný pokus o
přihlášení!
>
>
Z mé strany tedy můžu změnu SSH portu jen doporučit.
>
>
>
Stanislav
Petr píše v Pá 17. 07. 2015 v 15:27 +0200:
>
> Přesunutí portu určitě funguje.
Jinak než blacklisty je lepší
> povolit SSH jen z IP adres ze kterých se pripojuješ (pokud je
> to možné) nebo alespoň povolit všechny IP bloky svého ISP. Co
> se týká vypnutí autorizace heslem, tak tam stejně zůstavá
> problém s tím že spousta botů i na SSH server který akceptuje
> jen klíče stejně zkouší hesla a akorát tím zabíjejí CPU.
>
>
>
> A pokud si chcete hrát, tak
můžete SSH schovat jeste za
> port-koncking.
>
>
>
> Odesláno z iPhonu
>
>
>
> 17. 7. 2015 v 14:53, Pavel Snajdr
<snajpa(a)snajpa.net>et>:
>
>
>
>> Ahoj,
>
>
>
>>
paradoxne presne prave to reseni, ktere toho podle tebe
>> neresi moc je presne to nejucinnejsi, co na tenhle problem
>> existuje. Je uplne zbytecne plnit nejake blacklisty cinskymi
>> a ukrajinskymi IP, ktere se ani nepbtezuji to zkouset jinde
>> nez na 22 tcp, nebo nedejboze jeste 1022.
>
>
>
>>
Netusim, kde se bere ten vseobecne uznavany nazor, ze
>> odsunuti portu ssh jinam je srabarna, nic neresi, nebo ze to
>> neni ani trochu zabezpecovani.
>
>
>
>>
/snajpa
>
>
>
>>
Sent from your iPad
>
>
>
>>> On 16 Jul 2015, at 21:07, Lukáš Šembera
>>> <semberal(a)gmail.com> wrote:
>
> >
>
>>> Ahoj,
>
> >
>
>>> chtel jsem se zeptat, jak se vyporadavate s
>>> automatizovanymi brute force utoky na SSH. Dnes jsem si po
>>> loginu vsiml na me CentOS7 instanci varovani, ze od
>>> posledniho uspesneho prihlaseni probehlo desitek set
>>> pokusu o pristup na SSH pomoci hesla. To me zarazilo,
>>> podival jsem se do logu a nasledovalo zdeseni:
>
> >
>
>>> [root@home ~]# cat /var/log/secure | grep Failed | wc -l
>
>>> 21302
>
> >
>
>>> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes
>>> doporucuje zmenit SSH port (coz IMO nic neresi) v
>>> kombinaci s blokaci pomoci DenyHosts, fail2ban apod.
>
> >
>
>>> Jsem v administraci serveru zacatecnik, tak by me zajimaly
>>> vase nazory, jak se s timto vyporadavate vy. Predem diky!
>
> >
>
>>> S pozdravem
>
>>> Lukas Sembera
>
>>>
_______________________________________________
>
>>> Community-list mailing
list
>
>>>
Community-list(a)lists.vpsfree.cz
>
>>>
http://lists.vpsfree.cz/listinfo/community-list
>
>>
_______________________________________________
>
>> Community-list mailing list
>
>>
Community-list(a)lists.vpsfree.cz
>
>>
http://lists.vpsfree.cz/listinfo/community-list
>
>
_______________________________________________
>
> Community-list mailing list
>
> Community-list(a)lists.vpsfree.cz
>
>
http://lists.vpsfree.cz/listinfo/community-list
>
>
_______________________________________________
>
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_________________________________________________
Community-list mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
3445
days inactive
3446
days old
community-list@lists.vpsfree.cz
15 comments
11 participants
participants (11)
-
Branislav Blaskovic -
Jan B. Kolář -
Jan Bivoj Kolář
-
Jan Daniel Doležal -
Jindřich Sadílek -
Jirka Bourek -
Lukáš Šembera -
Pavel Snajdr -
Peter Šufliarsky -
Stanislav Petr -
Tomas Meszaros