LINUX.ORG.RU
решено ФорумSecurity

Защита SSH

 , ,


2

2

Добрый день, установил чистую систему на vps и ничего далее не настраивал(оставил на потом), ssh был настроен по умолчанию: авторизация под root и etc. Какой максимальный вред могут нанести злоумышленники если взломаю ssh и получат доступ к системе? Стоит ли беспокоится за ip и вообще за что стоит беспокоится(систему всё равно потом планировал переустановить)?



Последнее исправление: cetjs2 (всего исправлений: 1)
Jail для каждого сайта
VNC Защита

Эммм... Пароль нормальный? Или или один из love, sex, secret и god? Если нормальный - то забей, перевесь на какой - нить левый порт, чтоб не сканили, остальные ненужные закрой фаерволом и сиди спокойно. Ну а если слмают - то rm -rf / и все, счастье.

one117 ★★★★★
()

Поставь сложный пароль руту и/или отключи авторизацию по паролю для него. Этого достаточно, что бы спать спокойно и не вспоминать об ssh на этой железке следующие 50 лет.

PS: ломают не через ssh

beastie ★★★★★
()

1. Запретить доступ для root 2. Входить по ключам 3. Установить port-knocking для ssh

https://www.digitalocean.com/community/tutorials/how-to-use-port-knocking-to-...

https://www.digitalocean.com/community/tutorials/how-to-configure-port-knocki...

https://www.digitalocean.com/community/tutorial_series/how-to-implement-port-...

https://www.digitalocean.com/community/tutorials/how-to-use-fwknop-to-enable-...

linuxoidspb
()
Ответ на: комментарий от one117

Пароль нормальный, больше боялся за ip, а не за систему.

Если нормальный - то забей

Хорошо

chrisred
() автор топика
Ответ на: комментарий от linuxoidspb

Спасибо за ссылки, ими руководствовался просто решил настроить систему не сразу, а чуть позже.

chrisred
() автор топика
Ответ на: комментарий от beastie

Почему культ? На 22 - м задолбают скнерами. Ну или закрыть фаерволом с лимитами на подключение с одного адреса, кому как.

one117 ★★★★★
()
Ответ на: комментарий от linuxoidspb

Это для пустого vps? Забить гвоздик туннельным мелкоскопом? :)

one117 ★★★★★
()

Заведи учётную запись обычного пользователя с возможностью повышения прав (внеси во все нужные группы). Запрети вход от root.

rezedent12 ☆☆☆
()
Ответ на: комментарий от one117

А потом забудешь пароль от удаленной учетки и на второй-третий раз словишь бан с текущего айпишника. А ты в другом городе, лол. Проще повесить на высокий порт и проблем не знать.

arturpub ★★
()

Стоит ли беспокоится за ip и вообще за что стоит беспокоится(систему всё равно потом планировал переустановить)?

А что за vps? Нет ли возможности что тебя взломают и на сотни нефти наиспользую CPU или петабайты по сети будут гонять? В этом случае просто можешь получить огромный счет. Ну и если взломают и начнут досить что-нибудь то «хостер» может объяснений потребовать или вообще «санкции наложить». Вообще я бы погасил машину если она сейчас не используется.

Ну а по поводу защиты тебе уже все расписали, я бы разве что еще про fail2ban посоветовал почитать чтоб самому не городить файрволлы.

alozovskoy ★★★★★
()
Ответ на: комментарий от arturpub

Если я вдруг свой пароль забуду то я его никак не смогу сбрутить, проще будет скинуть пароль через админку.

alozovskoy ★★★★★
()
Ответ на: комментарий от alozovskoy

А что за vps? Нет ли возможности что тебя взломают и на сотни нефти наиспользую CPU или петабайты по сети будут гонять? В этом случае просто можешь получить огромный счет. Ну и если взломают и начнут досить что-нибудь то «хостер» может объяснений потребовать или вообще «санкции наложить». Вообще я бы погасил машину если она сейчас не используется.

Спасибо, учту.

chrisred
() автор топика
Ответ на: комментарий от arturpub

А зачем ты на них смотришь? Они стесняются.

beastie ★★★★★
()
Ответ на: комментарий от arturpub

забудешь пароль [..] словишь банк

ты просто не умеешь готовить ssh/fail2ban/iptables/pf, признайся

Проще повесить на высокий порт и проблем не знать

а вот это и есть карго-культ

Какой порт ты выберешь? Который сам сможешь запомнить? 2222, 22222, 8022 ... ? Так эти порты и боты знают. ;)

beastie ★★★★★
()

Какой максимальный вред могут нанести злоумышленники если взломаю ssh и получат доступ к системе?

rm -rf /

Вообще стоит сделать три шага для большей безопасности:

1) Выкинуть авторизации рута в SSH. Извольте использовать su/sudo.

2) Авторизация по ключам вместо паролей. Не подбираются в мыслимых временных рамках.

3) fail2ban или прочие. Вырубят клиента уже после пятой неудачной попытки залогинится.

spoilt ★★★
()
Последнее исправление: spoilt (всего исправлений: 1)
Ответ на: комментарий от spoilt

Уже настроил по ключам и etc..., на крайний случай решил выключать.

На сервере ещё предоставляется доступ по VNC, что с этим можно сделать?

chrisred
() автор топика
Ответ на: комментарий от beastie

Я это все готовил вот этими вот руками и не раз, только на ipfw, но зачем?

Какя разница, какой порт ты выберешь? Толковый аттакер и защищенный кнокинг сможет пробить. Мы обсуждаем не средства защиты от атаки, а false-positive снижения ее гарантированности. Возьми любой, который в течение месяца не покажет активности и запиши в телефон, чтобы не забыть.

arturpub ★★
()
Ответ на: комментарий от arturpub

если кнокинг сделан с использованием ключей, то хрен его аттакер пробьет.

linuxoidspb
()
Ответ на: комментарий от arturpub

Потому что ssh по паролям - позапрошлый век. Все эти фейл2баны, перевешивания порта, порт кнокинг и прочее дерьмо именно прикрывают жопу при такой авторизации. И все равно это менее секурно чем авторизация по ключам на дефолтном порту, который торчит в интернет. Плюс добавляет абсолютно ненужной сложности при авторизации. Гора костылей и подпорок.

1) Запрет авторизации по паролям
2) Запрет входа напрямую под рутом

Все, больше ничего не надо.

entefeed ☆☆☆
()
Ответ на: комментарий от entefeed

Да я о применимости здесь термина карго-культа —

В культах карго верят, что западные товары созданы духами предков и предназначены для меланезийского народа. Считается, что белые люди нечестным путём получили контроль над этими предметами. В культах карго проводятся ритуалы, похожие на действия белых людей, чтобы этих предметов стало больше.

---

Потому что ssh по паролям - позапрошлый век.
1) 2)

Это-то понятно.

arturpub ★★
()
Ответ на: комментарий от arturpub

В культах карго проводятся ритуалы, похожие на действия белых людей

Вполне про советчиков перевешивания портов и прочей хрени.

Но вообще мне пофиг на ваши культы, я мимо проходил.

entefeed ☆☆☆
()
Ответ на: комментарий от arturpub

Ритуальное повторение действий без понимания их назначения и смысла. И соответственно без результата.

Касательно it, безопасности и сетей — это, в частности, использование нестандартных портов. Иногда это необходимо, но к безопасности это не имеет абсолютно никакого отношения.

Другой распространенный карго-култ — запрещение пингов.

Как макаки, напяливают бамбуковые наушники, и думают, что они «в домике». Security through obscurity не работает.

Работает сильная криптография и сложные длинные пароли (но ключи всё же намного лучше!). И пофиг на все боты.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 3)
Ответ на: комментарий от chrisred

Для RSA 2048 бит считается в ближайшем будущем (10-20 лет) достаточным значением.

Максимально, что смогли пока сломать — это 768 бит. На это потребовалось несколько лет и тысячи распределённых машин. ref:

Для взлома 2048 потребуется уже несколько миллионов лет и миллионы машин. (И ты сможешь получить премию в $200000, если у тебя это получится ;)

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 3)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Jail для каждого сайта
Security
VNC Защита