[vpsFree.cz: community-list] Brute-force utok na SSH

Pavel Snajdr snajpa at snajpa.net
Fri Jul 17 22:05:25 CEST 2015 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

A tohle je prave to slovickareni, proc potom laici maji presun portu
za neco zbytecneho, protoze to preci nezabezpecuje.

Just sayin :)

/snajpa

On 07/17/2015 05:48 PM, Jirka Bourek wrote:
> Přesun SSH na jiný port není _bezpečnostní_ opatření. Bezpečnostní
>  opatření jsou třeba silná hesla nebo (dá-li se použít) zakázané 
> používání hesel apod. Když si někdo vyhlédne konkrétní server, 
> přesun na jiný port ničemu nepomůže, protože útočník si ten port 
> najde.
> 
> Přesun na jiný port zabrání falešným poplachům, zbytečnému 
> vytěžování stroje a plnění logů, to ano. Ale nazývat to 
> bezpečnostním opatřením, to akorát nahrává tomu, že někdo méně 
> zkušený změní port a bude v klidu, i když má rootovské heslo toor.
> 
> Jindřich Sadílek wrote:
>> Od přesunutí SSH na nestandardní port prakticky všechny pokusy 
>> zmizely. Je to podle mne #1 bezpečnostní opatření, kterým
>> začínám na jakékoli nové mašine.
>> 
>> JS
>> 
>> 
>> Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal 
>> napsal:
>>> No taky přispěju,
>>> 
>>> mám SSH na nestandartním portu (pod 1000), tím se vyřešila 
>>> většina tipovačů na mých cca 6 strojích. Nevidím v tom ideový 
>>> problém. Fail2ban mi haproval (zakazoval mě z firemní sítě) a 
>>> místo řešení proč jsem zvolil taktiku přihlašování přes klíče, 
>>> ale povolená hesla (pro jistotu), ale dlouhá a uložená v 
>>> keepass kdyby něco.
>>> 
>>> Dan
>>> 
>>> pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar at zazen-
>>> nudu.cz> napsal:
>>>> Dovolím si sepsat moje zkušenosti:
>>>> 
>>>> 
>> K serveru mám přístup pouze já (nebo mnou spravované stroje), 
>> takže od
>>>> 
>> začátku používám ověření klíčem a ověření hesla mám zakázané. 
>> Přesto se
>>>> 
>> každý den pokoušel někdo připojit - ti inteligentnější boti toho 
>> nechali
>>>> 
>> po pár pokusech, ti horší to zkoušeli i několik hodin.
>>>> 
>>>> 
>> Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude 
>> mám pevné
>>>> 
>> IP adresy). Po nějakém čase jsem na to však zapomněl a tak když 
>> jsem
>>>> 
>> přecházel od O2 k Vodafonu, adresy se změnily a musela mě 
>> zachránit
>>>> 
>> konzole z VPSadminu :-D
>>>> 
>>>> 
>> Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH 
>> pro
>>>> 
>> všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 
>> 10
>>>> 
>> minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika 
>> špatných
>>>> 
>> pokusech, myslím deseti). I přesto ale "útoky" stále 
>> pokračovaly,
>>>> 
>> dokonce to některé banované adresy po 24 hodinách zkoušeli 
>> znovu.
>>>> 
>>>> 
>> Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o 
>> útocích
>>>> 
>> obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v
>>>> 
>> konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na 
>> jiný
>>>> 
>> port. A světe div se, od té doby ani jeden jediný pokus o 
>> přihlášení!
>>>> 
>>>> 
>> Z mé strany tedy můžu změnu SSH portu jen doporučit.
>>>> 
>>>> 
>>>> 
>> Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:
>>>> 
>>> Přesunutí portu určitě funguje. Jinak než blacklisty je lepší 
>>> povolit SSH jen z IP adres ze kterých se pripojuješ (pokud je 
>>> to možné) nebo alespoň povolit všechny IP bloky svého ISP. Co 
>>> se týká vypnutí autorizace heslem, tak tam stejně zůstavá 
>>> problém s tím že spousta botů i na SSH server který akceptuje 
>>> jen klíče stejně zkouší hesla a akorát tím zabíjejí CPU.
>>>> 
>>> 
>>>> 
>>> A pokud si chcete hrát, tak můžete SSH schovat jeste za 
>>> port-koncking.
>>>> 
>>> 
>>>> 
>>> Odesláno z iPhonu
>>>> 
>>> 
>>>> 
>>> 17. 7. 2015 v 14:53, Pavel Snajdr <snajpa at snajpa.net>:
>>>> 
>>> 
>>>> 
>>>> Ahoj,
>>>> 
>>>> 
>>>> 
>>>> paradoxne presne prave to reseni, ktere toho podle tebe 
>>>> neresi moc je presne to nejucinnejsi, co na tenhle problem 
>>>> existuje. Je uplne zbytecne plnit nejake blacklisty cinskymi 
>>>> a ukrajinskymi IP, ktere se ani nepbtezuji to zkouset jinde 
>>>> nez na 22 tcp, nebo nedejboze jeste 1022.
>>>> 
>>>> 
>>>> 
>>>> Netusim, kde se bere ten vseobecne uznavany nazor, ze 
>>>> odsunuti portu ssh jinam je srabarna, nic neresi, nebo ze to 
>>>> neni ani trochu zabezpecovani.
>>>> 
>>>> 
>>>> 
>>>> /snajpa
>>>> 
>>>> 
>>>> 
>>>> Sent from your iPad
>>>> 
>>>> 
>>>> 
>>>>> On 16 Jul 2015, at 21:07, Lukáš Šembera 
>>>>> <semberal at gmail.com> wrote:
>>>> 
>>>>> 
>>>> 
>>>>> Ahoj,
>>>> 
>>>>> 
>>>> 
>>>>> chtel jsem se zeptat, jak se vyporadavate s 
>>>>> automatizovanymi brute force utoky na SSH. Dnes jsem si po 
>>>>> loginu vsiml na me CentOS7 instanci varovani, ze od 
>>>>> posledniho uspesneho prihlaseni probehlo desitek set
>>>>> pokusu o pristup na SSH pomoci hesla. To me zarazilo,
>>>>> podival jsem se do logu a nasledovalo zdeseni:
>>>> 
>>>>> 
>>>> 
>>>>> [root at home ~]# cat /var/log/secure | grep Failed | wc -l
>>>> 
>>>>> 21302
>>>> 
>>>>> 
>>>> 
>>>>> Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes 
>>>>> doporucuje zmenit SSH port (coz IMO nic neresi) v
>>>>> kombinaci s blokaci pomoci DenyHosts, fail2ban apod.
>>>> 
>>>>> 
>>>> 
>>>>> Jsem v administraci serveru zacatecnik, tak by me zajimaly 
>>>>> vase nazory, jak se s timto vyporadavate vy. Predem diky!
>>>> 
>>>>> 
>>>> 
>>>>> S pozdravem
>>>> 
>>>>> Lukas Sembera
>>>> 
>>>>> _______________________________________________
>>>> 
>>>>> Community-list mailing list
>>>> 
>>>>> Community-list at lists.vpsfree.cz
>>>> 
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> 
>>>> _______________________________________________
>>>> 
>>>> Community-list mailing list
>>>> 
>>>> Community-list at lists.vpsfree.cz
>>>> 
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> 
>>> _______________________________________________
>>>> 
>>> Community-list mailing list
>>>> 
>>> Community-list at lists.vpsfree.cz
>>>> 
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> 
>>>> 
>> _______________________________________________
>>>> 
>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz 
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>> _________________________________________________ 
>>> Community-list mailing list Community-list at lists.vpsfree.cz 
>>> http://lists.vpsfree.cz/listinfo/community-list
>> 
>> 
>> 
>> _______________________________________________ Community-list 
>> mailing list Community-list at lists.vpsfree.cz 
>> http://lists.vpsfree.cz/listinfo/community-list
>> 
> _______________________________________________ Community-list 
> mailing list Community-list at lists.vpsfree.cz 
> http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iF4EAREIAAYFAlWpYAQACgkQgRwOVqYrsFVLwwEA16PIzExq5cHgVBBdB+AbP7Vu
X+craniexwUt6tE8hzQBAJVdkc/dK2kf4O4c3sn+3kTM0IK8BdGaqlzLl+NS+rrK
=jzpl
-----END PGP SIGNATURE-----

More information about the Community-list mailing list