[vpsFree.cz: community-list] Brute-force utok na SSH
Jindřich Sadílek
jindrich.sadilek at gmail.com
Fri Jul 17 17:36:46 CEST 2015
Od přesunutí SSH na nestandardní port prakticky všechny pokusy zmizely.
Je to podle mne #1 bezpečnostní opatření, kterým začínám na jakékoli
nové mašine.
JS
Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal napsal:
> No taky přispěju,
>
> mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina
> tipovačů na mých cca 6 strojích. Nevidím v tom ideový problém.
> Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč
> jsem zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro
> jistotu), ale dlouhá a uložená v keepass kdyby něco.
>
> Dan
>
> pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar at zazen-
> nudu.cz> napsal:
>> Dovolím si sepsat moje zkušenosti:
>>
>>
K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od
>>
začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se
>>
každý den pokoušel někdo připojit - ti inteligentnější boti toho nechali
>>
po pár pokusech, ti horší to zkoušeli i několik hodin.
>>
>>
Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám pevné
>>
IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem
>>
přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit
>>
konzole z VPSadminu :-D
>>
>>
Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro
>>
všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10
>>
minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných
>>
pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,
>>
dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.
>>
>>
Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích
>>
obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v
>>
konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný
>>
port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!
>>
>>
Z mé strany tedy můžu změnu SSH portu jen doporučit.
>>
>>
>>
Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:
>>
> Přesunutí portu určitě funguje. Jinak než blacklisty je lepší povolit
> SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo
> alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí
> autorizace heslem, tak tam stejně zůstavá problém s tím že spousta
> botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a
> akorát tím zabíjejí CPU.
>>
>
>>
> A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.
>>
>
>>
> Odesláno z iPhonu
>>
>
>>
> 17. 7. 2015 v 14:53, Pavel Snajdr <snajpa at snajpa.net>:
>>
>
>>
> > Ahoj,
>>
> >
>>
> > paradoxne presne prave to reseni, ktere toho podle tebe neresi moc
> > je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne
> > zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere
> > se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze
> > jeste 1022.
>>
> >
>>
> > Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu
> > ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu
> > zabezpecovani.
>>
> >
>>
> > /snajpa
>>
> >
>>
> > Sent from your iPad
>>
> >
>>
> >> On 16 Jul 2015, at 21:07, Lukáš Šembera <semberal at gmail.com> wrote:
>>
> >>
>>
> >> Ahoj,
>>
> >>
>>
> >> chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute
> >> force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7
> >> instanci varovani, ze od posledniho uspesneho prihlaseni probehlo
> >> desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo,
> >> podival jsem se do logu a nasledovalo zdeseni:
>>
> >>
>>
> >> [root at home ~]# cat /var/log/secure | grep Failed | wc -l
>>
> >> 21302
>>
> >>
>>
> >> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
> >> zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
> >> DenyHosts, fail2ban apod.
>>
> >>
>>
> >> Jsem v administraci serveru zacatecnik, tak by me zajimaly vase
> >> nazory, jak se s timto vyporadavate vy. Predem diky!
>>
> >>
>>
> >> S pozdravem
>>
> >> Lukas Sembera
>>
> >> _______________________________________________
>>
> >> Community-list mailing list
>>
> >> Community-list at lists.vpsfree.cz
>>
> >> http://lists.vpsfree.cz/listinfo/community-list
>>
> > _______________________________________________
>>
> > Community-list mailing list
>>
> > Community-list at lists.vpsfree.cz
>>
> > http://lists.vpsfree.cz/listinfo/community-list
>>
> _______________________________________________
>>
> Community-list mailing list
>>
> Community-list at lists.vpsfree.cz
>>
> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
_______________________________________________
>>
Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _________________________________________________
> Community-list mailing list Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20150717/0267e726/attachment-0002.html>
More information about the Community-list
mailing list