[vpsFree.cz: community-list] Brute-force utok na SSH

Jan Daniel Doležal dan at utio.cz
Fri Jul 17 16:22:30 CEST 2015


No taky přispěju,

mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina tipovačů
na mých cca 6 strojích. Nevidím v tom ideový problém.

Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč jsem
zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro jistotu),
ale dlouhá a uložená v keepass kdyby něco.

Dan

pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar at zazen-nudu.cz>
napsal:

> Dovolím si sepsat moje zkušenosti:
>
> K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od
> začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se
> každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali
> po pár pokusech, ti horší to zkoušeli i několik hodin.
>
> Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné
> IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem
> přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit
> konzole z VPSadminu :-D
>
> Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro
> všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10
> minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných
> pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,
> dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.
>
> Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích
> obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v
> konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný
> port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!
>
> Z mé strany tedy můžu změnu SSH portu jen doporučit.
>
>
> Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:
> > Přesunutí portu určitě funguje. Jinak než blacklisty je lepší povolit
> SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo
> alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí autorizace
> heslem, tak tam stejně zůstavá problém s tím že spousta botů i na SSH
> server který akceptuje jen klíče stejně zkouší hesla a akorát tím zabíjejí
> CPU.
> >
> > A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.
> >
> > Odesláno z iPhonu
> >
> > 17. 7. 2015 v 14:53, Pavel Snajdr <snajpa at snajpa.net>:
> >
> > > Ahoj,
> > >
> > > paradoxne presne prave to reseni, ktere toho podle tebe neresi moc je
> presne to nejucinnejsi, co na tenhle problem existuje. Je uplne zbytecne
> plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere se ani nepbtezuji
> to zkouset jinde nez na 22 tcp, nebo nedejboze jeste 1022.
> > >
> > > Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu
> ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu zabezpecovani.
> > >
> > > /snajpa
> > >
> > > Sent from your iPad
> > >
> > >> On 16 Jul 2015, at 21:07, Lukáš Šembera <semberal at gmail.com> wrote:
> > >>
> > >> Ahoj,
> > >>
> > >> chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute
> force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci
> varovani, ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu
> o pristup na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a
> nasledovalo zdeseni:
> > >>
> > >> [root at home ~]# cat /var/log/secure | grep Failed | wc -l
> > >> 21302
> > >>
> > >> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
> zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
> DenyHosts, fail2ban apod.
> > >>
> > >> Jsem v administraci serveru zacatecnik, tak by me zajimaly vase
> nazory, jak se s timto vyporadavate vy. Predem diky!
> > >>
> > >> S pozdravem
> > >> Lukas Sembera
> > >> _______________________________________________
> > >> Community-list mailing list
> > >> Community-list at lists.vpsfree.cz
> > >> http://lists.vpsfree.cz/listinfo/community-list
> > > _______________________________________________
> > > Community-list mailing list
> > > Community-list at lists.vpsfree.cz
> > > http://lists.vpsfree.cz/listinfo/community-list
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz
> > http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20150717/d8967c2f/attachment-0002.html>


More information about the Community-list mailing list