22 порт

1

1

Здравствуйте всем. Перевесил sshd на другой порт. На «освободившийся» 22 порт прицепил для интереса другой сервис. Но, не работает.

Apr 21 05:59:56 pro endlessh[6703]: 2019-04-21T09:59:56.809Z setsockopt(3,
 SO_REUSEADDR, true) = 0
Apr 21 05:59:56 pro endlessh[6703]: 2019-04-21T09:59:56.809Z bind(3, port=
22) = -1
Apr 21 05:59:56 pro endlessh[6703]: endlessh: fatal: Permission denied

Как починить? Покажите пож. в каком направлении искать

Ссылка

←	Копирование темы Windows 10

После апдейта sudo срабатывает со второго раза

→

centos? selinux? ubuntu? apparmor?

slowpony ★★★★★
(21.04.19 13:44:55 MSK)

selinux 99.99%

anonymous
(21.04.19 14:02:57 MSK)

Ответ на: комментарий от slowpony 21.04.19 13:44:55 MSK

Ubuntu 18

~~Bootmen~~ ☆☆☆
(21.04.19 14:19:31 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 21.04.19 14:02:57 MSK

selinux 99.99%

root@pro:~# /usr/sbin/sestatus
SELinux status:                 disabled

~~Bootmen~~ ☆☆☆
(21.04.19 14:22:25 MSK) автор топика

Ответ на: комментарий от Bootmen 21.04.19 14:22:25 MSK

Самое интересное: если этот сервис повесить на другой порт типа 55991, то все в порядке.

~~Bootmen~~ ☆☆☆
(21.04.19 14:31:40 MSK) автор топика

Ссылка

в дебианах установщики любили записать в

/etc/hosts.allow
/etc/hosts.deny

bass ★★★★★
(21.04.19 14:35:01 MSK)

Сервис от какого юзера запускается? Если это не root (CAP_NET_BIND_SERVICE), то читай, что такое net.ipv4.ip_unprivileged_port_start.

post-factum ★★★★★
(21.04.19 14:38:00 MSK)

Ответ на: комментарий от bass 21.04.19 14:35:01 MSK

/etc/hosts.allow
/etc/hosts.deny

Пустые они.

~~Bootmen~~ ☆☆☆
(21.04.19 14:38:18 MSK) автор топика

Ссылка

Ответ на: комментарий от post-factum 21.04.19 14:38:00 MSK

Сервис от какого юзера запускается?

От рута.

~~Bootmen~~ ☆☆☆
(21.04.19 14:39:13 MSK) автор топика

Ответ на: комментарий от Bootmen 21.04.19 14:39:13 MSK

Значит, ковыряй apparmor.

post-factum ★★★★★
(21.04.19 14:43:12 MSK)

Ответ на: комментарий от post-factum 21.04.19 14:43:12 MSK

Сильно извиняюсь! Запустил с командной это приложение:

./endlessh -p 22

И все нормально. наверное кривой endlessh.service А что в нем не так? не понимаю:

[Unit]
Description=Endlessh SSH Tarpit
Requires=network-online.target

[Service]
Type=simple
Restart=always
RestartSec=30sec
ExecStart=/opt/endlessh/endlessh
KillSignal=SIGTERM

# Stop trying to restart the service if it restarts too many times in a row
StartLimitInterval=5min
StartLimitBurst=4

StandardOutput=journal
StandardError=journal
StandardInput=null

PrivateTmp=true
PrivateDevices=true
ProtectSystem=full
ProtectHome=true
NoNewPrivileges=true
ConfigurationDirectory=/etc/endlessh
PrivateUsers=true
ProtectKernelTunables=true
ProtectKernelModules=true
ProtectControlGroups=true
MemoryDenyWriteExecute=true

[Install]
WantedBy=multi-user.target

Я его вместе приложением скачал.

~~Bootmen~~ ☆☆☆
(21.04.19 15:02:42 MSK) автор топика
Последнее исправление: Bootmen 21.04.19 15:03:46 MSK (всего исправлений: 1)

Ответ на: комментарий от Bootmen 21.04.19 15:02:42 MSK

PrivateUsers=true убери или выставь в false. Стало самому интересно, вот только что разобрался, ибо получил такую же ошибку.

post-factum ★★★★★
(21.04.19 15:25:31 MSK)

Ссылка

Ответ на: комментарий от Bootmen 21.04.19 15:02:42 MSK

А вообще я думаю таки PrivateUsers оставить, повесить его на 2222, а с 22-го порта делать DNAT. Типа, безопаснее.

post-factum ★★★★★
(21.04.19 15:29:50 MSK)

Ответ на: комментарий от post-factum 21.04.19 15:29:50 MSK

PrivateUsers=true убери или выставь в false.

Получилось! Большое спасибо за подсказку. Немного знаний о systemd прибавилось. Счас половлю китайских сцакеров на этот порт. _:)

~~Bootmen~~ ☆☆☆
(21.04.19 15:35:58 MSK) автор топика

Ответ на: комментарий от Bootmen 21.04.19 15:35:58 MSK

Одумайся! Количество ботов в китае больше чем у тебя сокетов на тачке.

slowpony ★★★★★
(21.04.19 15:37:34 MSK)

Ответ на: комментарий от slowpony 21.04.19 15:37:34 MSK

Количество ботов в китае больше чем у тебя сокетов на тачке.

Ничего страшного. Машина свежая. Только кальмар стоит. А endlessh судя по описанию машину не грузит. Только лапшу «гостям» вешает. Только не пойму куда он логи складывает. Ну чтоб позларадствовать.. :)

~~Bootmen~~ ☆☆☆
(21.04.19 15:42:25 MSK) автор топика

Ответ на: комментарий от Bootmen 21.04.19 15:42:25 MSK

В конфиге сделай LogLevel 1, а потом злорадствуй через journalctl -fu endlessh.

post-factum ★★★★★
(21.04.19 15:51:45 MSK)

Ответ на: комментарий от post-factum 21.04.19 15:51:45 MSK

journalctl -fu endlessh

Спасибо. Ато в syslog рытся очень неудобно.

~~Bootmen~~ ☆☆☆
(21.04.19 15:58:50 MSK) автор топика

Ответ на: комментарий от Bootmen 21.04.19 15:58:50 MSK

Трюк с редиректом через iptables/nftables тоже проверил — работает. Так что можешь service-файл не обрезать, а просто порешать через firewall.

post-factum ★★★★★
(21.04.19 16:20:14 MSK)

Ссылка

Ответ на: комментарий от post-factum 21.04.19 15:51:45 MSK

Юjournalctl -fu endlessh. Получает только последние данные. Это не пойдет. Смешно: grep CLOSE ./syslog

~~Bootmen~~ ☆☆☆
(22.04.19 11:27:43 MSK) автор топика

Ответ на: комментарий от Bootmen 22.04.19 11:27:43 MSK

Ну так -f там же не просто так ☺. Убери его, и увидишь полный лог, который можно grep'ать. Например:

journalctl -u endlessh --grep CLOSE

(да, jctl умеет грепать сам, как видишь)

Или, может, у вас в убунтах journald просто не-persistent по умолчанию?

post-factum ★★★★★
(22.04.19 12:16:09 MSK)

Ответ на: комментарий от post-factum 22.04.19 12:16:09 MSK

Или, может, у вас в убунтах joR

Коллега не обижайтесь. греп всегда грэп

~~Bootmen~~ ☆☆☆
(22.04.19 12:21:12 MSK) автор топика

Ответ на: комментарий от Bootmen 22.04.19 12:21:12 MSK

Как хотите, каешн.

post-factum ★★★★★
(22.04.19 12:24:24 MSK)

Ответ на: комментарий от post-factum 22.04.19 12:24:24 MSK

Самое интересно: Logwatch собирает инфу нормально.

~~Bootmen~~ ☆☆☆
(22.04.19 12:31:46 MSK) автор топика

Ссылка

1 июня 2019 г.

Ответ на: комментарий от post-factum 21.04.19 15:51:45 MSK

Полет нормальный. 6 китайско-корейских мальчиков висят на фейквоом порту неделю. Остальные полсотни подключаются каждые 50 сек и повторяют повторяют... ЦП и все остальное в норме. :)

~~Bootmen~~ ☆☆☆
(01.06.19 16:09:10 MSK) автор топика

Ответ на: комментарий от Bootmen 01.06.19 16:09:10 MSK

Аналогично.

post-factum ★★★★★
(01.06.19 16:25:59 MSK)

Ссылка

Перевесил sshd на другой порт

В этом нет никакого смысла, сто раз уже проходили.

~~WitcherGeralt~~ ★★
(01.06.19 16:42:26 MSK)

Ответ на: комментарий от WitcherGeralt 01.06.19 16:42:26 MSK

Что Вы там проходили?

~~Bootmen~~ ☆☆☆
(01.06.19 17:04:31 MSK) автор топика

Ответ на: комментарий от Bootmen 01.06.19 17:04:31 MSK

То, чего не проходил ты, очевидно.

~~WitcherGeralt~~ ★★
(01.06.19 18:00:15 MSK)

Ответ на: комментарий от WitcherGeralt 01.06.19 18:00:15 MSK

То, чего не проходил ты, очевидно.

На аватарке в руке ваша «тыкалка»?

~~Bootmen~~ ☆☆☆
(02.06.19 13:04:48 MSK) автор топика

Ответ на: комментарий от Bootmen 02.06.19 13:04:48 MSK

Хочешь выкать с такими же дурными, иди в клуб интеллигентов, а здесь LOR.

~~WitcherGeralt~~ ★★
(02.06.19 13:25:10 MSK)
Последнее исправление: WitcherGeralt 02.06.19 13:26:41 MSK (всего исправлений: 1)

Ответ на: комментарий от Bootmen 21.04.19 15:42:25 MSK

Ну чтоб позларадствовать.

а сколько ждать что бы клюнуло?

amd_amd ★★★★★
(02.06.19 13:52:47 MSK)

Ответ на: комментарий от WitcherGeralt 02.06.19 13:25:10 MSK

рными, иди в клуб интеллигентов, а здесь LOR.

Ты ошибаешься думая, что ЛОР сайт хамов. Тебе с такими запросами надо к своим салоедам.

~~Bootmen~~ ☆☆☆
(02.06.19 13:54:29 MSK) автор топика

Ссылка

Ответ на: комментарий от amd_amd 02.06.19 13:52:47 MSK

что бы клюнуло?

Через минуту на всю «гирлянду» нацеплялось. :)

~~Bootmen~~ ☆☆☆
(02.06.19 13:56:23 MSK) автор топика

Ответ на: комментарий от Bootmen 02.06.19 13:56:23 MSK

чего то у меня пусто - может злорадствую неправильно

amd_amd ★★★★★
(02.06.19 14:05:23 MSK)

Ответ на: комментарий от amd_amd 02.06.19 14:05:23 MSK

root@pro:~# grep CLOSE /var/log/syslog
Jun  2 09:35:45 pro endlessh[1204]: 2019-06-02T09:35:45.372Z CLOSE host=54.38.82.14 port=52224 fd=12 time=40.006 bytes=56
Jun  2 09:46:03 pro endlessh[1204]: 2019-06-02T09:46:03.387Z CLOSE host=88.214.26.10 port=57322 fd=10 time=30.000 bytes=51
Jun  2 09:47:13 pro endlessh[1204]: 2019-06-02T09:47:13.088Z CLOSE host=156.223.71.123 port=46953 fd=5 time=1030.119 bytes=1836
Jun  2 10:14:03 pro endlessh[1204]: 2019-06-02T10:14:03.204Z CLOSE host=54.38.82.14 port=44876 fd=5 time=40.002 bytes=24
Jun  2 10:35:34 pro endlessh[1204]: 2019-06-02T10:35:34.343Z CLOSE host=88.214.26.10 port=34952 fd=5 time=30.003 bytes=52
Jun  2 10:35:39 pro endlessh[1204]: 2019-06-02T10:35:39.852Z CLOSE host=193.201.224.232 port=29774 fd=6 time=16929.141 bytes=29374
Jun  2 10:51:57 pro endlessh[1204]: 2019-06-02T10:51:57.010Z CLOSE host=88.214.26.10 port=44310 fd=10 time=30.010 bytes=45
Jun  2 10:53:41 pro endlessh[1204]: 2019-06-02T10:53:41.464Z CLOSE host=193.201.224.232 port=16879 fd=6 time=170.028 bytes=326
Jun  2 10:58:35 pro endlessh[1204]: 2019-06-02T10:58:35.357Z CLOSE host=54.38.82.14 port=45428 fd=6 time=40.002 bytes=58
Jun  2 11:03:54 pro endlessh[1204]: 2019-06-02T11:03:54.784Z CLOSE host=193.201.224.232 port=46524 fd=10 time=620.057 bytes=1108
Jun  2 11:07:00 pro endlessh[1204]: 2019-06-02T11:07:00.223Z CLOSE host=193.201.224.232 port=19253 fd=5 time=1881.055 bytes=3400

Сегодня чегото маловато. Наверное выходной. А эти с прошлой недели висят:

root@pro:~# netstat -et
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode
tcp       25      0 pro.sa.ru:ssh   193.201.224.12:45670    ESTABLISHED root       766373  
tcp       25      0 pro.sa.ru:ssh   188.92.77.235:10337     ESTABLISHED root       784418  
tcp       28      0 pro.sa.ru:ssh   193.201.224.232:19324   ESTABLISHED root       792281  
tcp       24      0 pro.sa.ru:ssh   193.201.224.207:57705   ESTABLISHED root       765805  
tcp       30      0 pro.sa.ru:ssh   193.201.224.12:56599    ESTABLISHED root       785432

~~Bootmen~~ ☆☆☆
(02.06.19 14:22:10 MSK) автор топика
Последнее исправление: Bootmen 02.06.19 14:26:01 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от WitcherGeralt 01.06.19 16:42:26 MSK

у меня после этого, auth.log стал пуст, за исключением моих логинов, поэтому эстетический смысл есть

MaZy ★★★★★
(02.06.19 14:29:41 MSK)

Ссылка

Я Endlessh запускаю от обычного пользователя таким сервисом:

[Unit]
Description=Endlessh
After=network.target

[Service]                                                               Type=simple
RemainAfterExit=true
ExecStart=/home/user/.local/bin/endlessh
ExecStop=/bin/kill $MAINPID
StandardOutput=journal

[Install]
WantedBy=default.target

Думаю, если все будут Endlessh на своих серверах запускать, мамины хацкеры перестанут стучаться в 22 порт наконец.

ArkaDOSik ★★
(02.06.19 15:00:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Копирование темы Windows 10

General

После апдейта sudo срабатывает со второго раза

→

Похожие темы