LINUX.ORG.RU
ФорумAdmin

А на какой порт вешать SSH, чтобы сканеры до него недосканировали?


1

1

Есть боты, которые ищут на форумах/соцсетях хостнеймы и ломятся туда на разные порты. Находят 22 - начинают туда пароли подбирать и т.п. Они порты сканируют или у них времени мало и проверяют только стандартные? А если сканируют, то до какого предела?

Короче, как безопаснее всего ssh наружу вывешивать, дайте мудрые советы в этом деле?

★☆

Последнее исправление: kiverattes (всего исправлений: 1)
Ответ на: комментарий от joy4eg

Вообще выключить его, и испоьзовать только public key :)

советчики такие советчики.

maloi ★★★★★
()

Лично я просто добавляю перед 22 пару единиц Но это только для того, чтобы auth.log не засорялся. А для безопасности лучше ключи использовать, а не пароли.

lampslave ★★
()
Ответ на: комментарий от kiverattes

Совершенно необязательно его держать только на флешке.

lampslave ★★
()

а нафига его всё время держать открытым?

darkenshvein ★★★★★
()
Ответ на: комментарий от kiverattes

дело не во флешке с ключом, а в том что сбрутфорсить хороший пароль и хороший ключ в современных реалиях - почти одно и то же,

но при этом 1. проверить, что пароль - хороший, проще, чем ключ 2. от неизвестных уязвимостей в ssh хороший ключ и пароль могут не спасти.

maloi ★★★★★
()
Ответ на: комментарий от maloi

сбрутфорсить хороший пароль и хороший ключ в современных реалиях - почти одно и то же

А вот это интересно. Какие-то пруфы есть?

lu4nik ★★★
()
Ответ на: комментарий от maloi

Не понял посыл про ключ. Спасибо за порт нокинг, крутая штука.

kiverattes ★☆
() автор топика

Сканируют до 1024 порта как правило. И как уже советовали - используй ключи и отключи пароли.

Black_Roland ★★★★
()

Повыше просто поставь. Добавь пользователя и запрети руту логин.

ritsufag ★★★★★
()

Не надо перевешивать ssh-порт. Ибо это ничего не добавляет к безопасности. Надо использовать ключи, порт-нокинг и fail2ban.

overmind88 ★★★★★
()

На любой, если справишься с fail2ban

minakov ★★★★★
()
Ответ на: комментарий от maloi

А, в этом смысле. Подумал, что имеется ввиду легкость взлома обоих. Тогда извините.

lu4nik ★★★
()

80й порт спасёт отца русской демократии

zolden ★★★★★
()
Ответ на: комментарий от overmind88

Не надо перевешивать ssh-порт. Ибо это ничего не добавляет к безопасности

100 попыток подбора в день до перевешивания и 0 после.
А теперь послушаем твои аргументы:

zolden ★★★★★
()
Ответ на: комментарий от zolden

Не надо перевешивать ssh-порт. Ибо это ничего не добавляет к безопасности

100 попыток подбора в день до перевешивания и 0 после.

man security through obscurity

Ты не спрятал «дверь» (напр. при помощи port knocking), ты просто перенес её в другое место.

edigaryev ★★★★★
()

65535, точно не доберутся, инфа 100%

Harald ★★★★★
()
Ответ на: комментарий от kiverattes

Ключи потеряю, HDD попрут и всё писец.

facepalm.

tazhate ★★★★★
()
Ответ на: комментарий от edigaryev

Эти пафосные термины слишком абстрактны.
Давай сначала. Отвечай да или нет, без увиливаний.
Попытки подбора - это угроза безопасности?
Да или нет?
Отсутствие попыток подбора после принятия неких мер - уменьшение угрозы безопасности?
Да или нет?
Множество попыток атак состоит из подмножества попыток когда бот сканирует только стандартный порт и подмножества когда бот сканирует все порты, опираясь на fingerprint
Переносом порта мы обезопасим себя от всех ботов 1й категории?
Да или нет?
Значит ли это что перенос порта «ничего не добавляет к безопасности»?
Да или нет?

zolden ★★★★★
()
Ответ на: комментарий от WRG

поставь нормальный пароль. пускай хоть засканируются.

Это трафик и нагрузка на систему. От одного - маленькая. Если десяток, уже заметно. А может и больше прийти.

AS ★★★★★
()

Короче, как безопаснее всего ssh наружу вывешивать, дайте мудрые советы в этом деле?

iptables --recent

AS ★★★★★
()
Ответ на: комментарий от zolden

Значит ли это что перенос порта «ничего не добавляет к безопасности» ?
Да или нет ?

Дёргание, которое имеет мало смысла, и осложняет жизнь тебе же.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 2)
Ответ на: комментарий от AS

Дёргание, которое имеет мало смысла, и осложняет жизнь тебе же

«Мало» это больше чем «ничего»
Радует что ты это понимаешь, в отличие от

zolden ★★★★★
()
Ответ на: комментарий от ii343hbka

Если что-то придётся таскать в голове, нафига тогда таскать ту часть, которая не в голове? Как выше сказали, на практике перебор пароля и перебор ключа не отличаются. Что пиццот миллиардов килолет, что девяццот - один куй.

У меня пароли нехилые, типа «сверхслюнявыеоленеводы1321» латиницей.

kiverattes ★☆
() автор топика
Последнее исправление: kiverattes (всего исправлений: 1)
Ответ на: комментарий от kiverattes

Бэкапы для трусов что ли?

А так можно сказать, что тебя завтра кирпичом по голове стукнут и ты забудешь ключ.

KivApple ★★★★★
()

1. fail2ban
2. рута запретить
3. порт повыше - минимум 1025 (так отсеиваются все школоло-подбиратели)
4. ключи вместо пасов

megabaks ★★★★
()
Ответ на: комментарий от zolden

«Мало» это больше чем «ничего»

Но зачем, если fail2ban или --recent дают эффект в любом случае ? Подумаешь - несколько попыток случится...

AS ★★★★★
()
Ответ на: комментарий от roman77

-p xxx осень осложняет, да

Во-первых да, во-вторых этот xxx ещё помнить надо. :-)

AS ★★★★★
()

на 22 поставь ханипот, а ssh на какой-нибудь 222. Пусть хоть оббрутятся.

fang90 ★★★★★
()
Ответ на: комментарий от zolden

Эти пафосные термины слишком абстрактны.

При этом он прекрасно справляется со своей задачей, описывая предложенный тобой способ обеспечения безопасности.

Давай сначала. Отвечай да или нет, без увиливаний.

http://i.imgur.com/sMGwMxl.jpg

Проблема в том, что ты пытаешься измерить безопасность в количестве попыток подбора.

Вопрос на засыпку: что опаснее, бесчисленные коннекты на стандартный порт или 1 на нестандартный?

edigaryev ★★★★★
()
Последнее исправление: edigaryev (всего исправлений: 1)
Ответ на: комментарий от zolden

Я не собираюсь тебя ни в чём переубеждать, если тебя устраивает твой вариант, то пожалуйста, используй.

overmind88 ★★★★★
()
Ответ на: комментарий от AS

если fail2ban

Это тоже не панацея кстати. ЕМНИП, не так давно брутили пароли для гитхаба с 40к уникальных адресов.

overmind88 ★★★★★
()
Ответ на: комментарий от edigaryev

Прозреваю что написано у тебя между строк: «да, о великий zolden, я брякнул не подумав, что „ничего не добавляет“, но признаться в этом слишком унизительно, поэтому лучше поверчусь как уж на сковородке, придумывая отговорки»

Интересно кстати мнение настоящих специалистов о port-knocking
it's not universally usable, because many firewalls won't let the knocks through. (Obviously the firewall at the server end is precisely what will need to be specifically listening out for the knock, but firewalls at the client end or in between are likely to cause a lot more trouble. And in particular, if you're connecting through an SSH tunnel, you'll have a hard time sending a knock.) Also, since the knock is effectively sent in cleartext, it doesn't buy you a great deal of security - the only real gain is that your service appears to be a closed port to anyone doing a port scan, and although that might have advantages it might also cause administrators to become more relaxed about the real security of their service. It seems like a lot of effort for very little gain.

zolden ★★★★★
()
Ответ на: комментарий от overmind88

не так давно брутили пароли для гитхаба

От целенаправленной атаки ssh прятать вообще бесполезно. Разве что VPN-ом каким только. В смысле, OpenVPN-сервер сделать, а по ssh ходить уже на внутренний vpn-овский адрес.

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.