LINUX.ORG.RU

Удаляем openssh, 100% защита от ботнета, миф?

 , ,


2

1

Чем чревато удаление ssh (и клиент и сервер), в случае если удаленный доступ не требуется?

upd: как закрыть все порты кроме 80, и порт, используемый для обновления системы (к примеру у debian)?



Последнее исправление: crawl_over_you (всего исправлений: 9)
Ответ на: комментарий от Harald

например все, что требует удаленного управления? (оно как раз нам и ненадо, все верно)

любопытно, насколько это безопасно, если ботнеты будут ломится в 22 порт.

crawl_over_you
() автор топика

Уаление openssh / openssl, 100% от ботнета, миф?

Удаление головы - отличное средство от менингита? Да, при условии что от организма нам нужны лишь спиномозговые рефлексы и нанедолго. IMHO удаление openssl сломает практически всё связанное с сетями.

Чем чревато удаление ssh, в случае если удаленный доступ не требуется?

Клиента или демона? Клиента - невозможностью доступа к другим по ssh, демона - наоборот. Если доступ не требуется - ничем.

upd: как закрыть все порты кроме 80, и порт, используемый для обновления системы (к примеру у debian)?

man iptables , там всё написано.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от crawl_over_you

любопытно, насколько это безопасно, если ботнеты будут ломится в 22 порт.

При сложном пароле или настроенных ключах ничем, только логи будут замусориваться. И с этим можно бороться фильтрами, fail2ban всякими и т.п. А ещё можно тупо убрать sshd со стандартного порта на любой другой повыше и не париться совсем.

Jameson ★★★★★
()
Ответ на: комментарий от crawl_over_you

openssl - его снести, адекватное ли это решение, чтобы лишний раз обезопаситься?

Нет, неадекватное. Скорее всего сломается вообще всё хоть как то связанное с сетью.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

ну, вопрос в другом ключе ведь, безопасно ли именно удалить и то и другое, и удалить из iptables исключение для порта 22)

crawl_over_you
() автор топика
Ответ на: комментарий от crawl_over_you

ssh удалять безопасно, если он совсем не нужен, с ним ничего не линкуется. openssl линкуется со всем сетевым, удаление openssl сломает 2\3 софта. Если тебе от линукса нужен только баш с чорной текстовой консолью смело удаляй.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

убрать sshd со стандартного порта

и что мешает злоумышленнику подключиться на нестандартный? их не так уж и много, чтобы было сложно перебрать

avsej
()
Ответ на: комментарий от Jameson

Согласен, скурил пару мануалов по openssl, удалю из шапки темы упоминание о нем вообще, вдруг какой борец с ZOG снесет его ненароком))) ломает вообще все что связанно с сетью, все правильно.

crawl_over_you
() автор топика

В случае серверов «ломают» как правило именно через 80 порт, а точнее через то похапешное дерьмо, что на нем висит. Так что вперед и с песней, пионер.

entefeed ☆☆☆
()
Ответ на: комментарий от avsej

и что мешает злоумышленнику подключиться на нестандартный? их не так уж и много, чтобы было сложно перебрать

Зайти помешает длинный сложный пароль или ключ. Речь не о злоумышленнике, а о тупых ботах, которые портов не перебирают, просто чтобы логи не пухли. Злоумышленнику придётся порты сканировать и искать ssh, это не есть вежливое и ожидаемое поведение от хоста и для таких ситуаци есть древний как копролит и надёжный как шотган portsentry например, не считая множества других IDS. Серьёзного дядю и это не испугает конечно, но 99% остальных будут зобанены на этом этапе.

Jameson ★★★★★
()
Ответ на: комментарий от crawl_over_you

насколько это безопасно, если ботнеты будут ломится в 22 порт.

Это очень опасно и приводит к износу порта

zolden ★★★★★
()

upd: как закрыть все порты кроме 80, и порт, используемый для обновления системы (к примеру у debian)?

Это ни как не помешает боту на твоем компе самому делать запросы куда нибудь для получения инструкций.

TDrive ★★★★★
()

и как это поможет от уязвимости к примеру в движке сайта предоставляющему eval? В том то и дело что никак.

NextGenenration ★★
()

Просто через iptables закрой вх. соединения на 22 порт если конечно тебе самому доступ не нужен. И да, почитай теорию про iptables. Для обновления системы используются исх. соединения, а для доступа к данному пк по ssh вх.

rumgot ★★★★★
()

Миф. Через sshd взломы исключительно редки. Исключение - если разрешён вход с паролями и пароли простые, либо если у кого-то из админов украли ключ. Но это к безопасности sshd не имеет никакого отношения. В общем решение с удалением openssh бесполезно чуть менее, чем совсем.

в случае если удаленный доступ не требуется?

Можно конкретный юз-кейс? Не могу себе представить ситуацию, когда доступ в интернет есть, а удалённый доступ в том или ином виде при этом не нужен и не снимает кучу лишнего геморроя.

Deleted
()

Если у тебя CLI к серверу и так под рукой, или сервер под кроватью, то конечно тебе ssh не нужен.

anonymous_sama ★★★★★
()

Чем чревато удаление ssh (и клиент и сервер), в случае если удаленный доступ не требуется?

Ох блин. Повесь ssh на нестандартный порт, настрой порт-кноккинг и не морочь себе голову. Если удаленный доступ не требуется, то вообще ничем не чревато.

как закрыть все порты кроме 80, и порт, используемый для обновления системы (к примеру у debian)?

INTUT или OUTPUT? В любом случае ответ один - iptables!

Deleted
()
Ответ на: комментарий от Jameson

ты наивно считаешь что если в боте реализован перебор паролей, там будет сложно реализовать перебор портов, если 22 не отвечает?

avsej
()
Ответ на: комментарий от avsej

ты наивно считаешь что если в боте реализован перебор паролей, там будет сложно реализовать перебор портов, если 22 не отвечает?

Потому что это тупо невыгодно. Стратегически лучше сразу после отлупа идти дальше по диапазону чем упорно высканивать неведомый порт ssh, который вполне может вообще отсутствовать, и тем самым беспокоить IDS. Сканирующий все порты в IP диапазоне в поисках неведомо чего ботнет долго не проживёт, быстро спалится и будет массово зобанен. Наивен тут ты, предлагаю прекратить несмешную клоунаду.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 2)

Зачем удалять? Просто останови sshd.

deep-purple ★★★★★
()
Ответ на: комментарий от Jameson

почему это не выгодно? пока люди считают смену порта «защитой» по советам таких местных «аналитиков», такая атака имеет смысл. Ведь боты делают допущение, что существуют клоуны которые пользуются паролями для аутентификации SSH. Порт же перебрать дешевле чем пароли. К тому же никто не говорит, что сбор адресов, которые отвечают на SSH и собственно перебор паролей отдельно.

Наивен тут ты, предлагаю прекратить несмешную клоунаду.

и перестать давать идиотские советы

avsej
()
Ответ на: комментарий от Deleted

Помоему как раз удаление, и блок порта - напрочь убивает проблему.

crawl_over_you
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.