LINUX.ORG.RU

аналог denyhost?

 


0

1

Подскажите, используют ли сейчас denyhost для защиты от брутфорса ssh, или актуально что-то другое? Посмотрел - он обновлялся последний раз в 2016. Блокировать надо что-то типа такого:

Nov 29 08:23:12 host1 sshd[31833]: Failed password for root from 43.231.184.203 port 53970 ssh2
Nov 29 08:23:12 host1 sshd[31833]: error: Received disconnect from 43.231.184.203: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Nov 29 08:23:13 host1 sshd[31835]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.231.184.203  user=root
Nov 29 08:23:15 host1 sshd[31835]: Failed password for root from 43.231.184.203 port 54264 ssh2
Nov 29 08:23:15 host1 sshd[31835]: error: Received disconnect from 43.231.184.203: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Nov 29 08:23:16 host1 sshd[31837]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.231.184.203  user=root
Nov 29 08:23:19 host1 sshd[31837]: Failed password for root from 43.231.184.203 port 54650 ssh2
Nov 29 08:23:19 host1 sshd[31837]: error: Received disconnect from 43.231.184.203: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Nov 29 08:23:20 host1 sshd[31839]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.231.184.203  user=root



Последнее исправление: maxsx (всего исправлений: 2)

Для защиты от брутфорса используют отключение парольной аутентификаци и переход на аутентификацию по ключу. :)

ivlad ★★★★★
()
Ответ на: комментарий от maxsx

Чтобы правила пораспухали от айпишников ?

Deleted
()

fail2ban тяжеловат показался, а sshguard кажется что-то в iptables пишет, в нем разве рационально списками ip банить?

maxsx
() автор топика
Ответ на: комментарий от ford1813

Вредный совет, если не уметь готовить.

Если менять, то надо вешать на привилегирвоанный порт, а это не всегда просто, так как можно занять что-то нужное.

PunkoIvan ★★★★
()
Ответ на: комментарий от maxsx

Ну и что? У меня sshd на стандартном порту, парольная аутентификация выключена. Единственный эффект - в логах записи. Не очень беспокоит.

ivlad ★★★★★
()

Не актуально, ссш трафик с левых айпишников не должен доходить до сервака.

IPtables легко задосить кстати.

Murg ★★★
()
Ответ на: комментарий от ford1813

Нэть. Можешь попробовать и посмотреть логи. Может во времена диалапа смена порта и срабатывала вместо фаервола, но щас как-то не очень. По крайней мере я не вижу разницы в количестве стучащихся ботов. Посканить порты может каждый школьник.

Murg ★★★
()
Ответ на: комментарий от Murg

Ну у меня на сервере порт на ссш установлен 40xxx какой-то, активности ботов не наблюдаю с момента смены порта. (6+ месяцев ), аналогичная ситуация и на других серверах.
Кому как, а мне смена порта + fail2ban хватает с избытком.

ford1813
()
Ответ на: комментарий от ford1813

Кому как, а мне смена порта + fail2ban хватает с избытком.

И одно из этих слагаемых много бестолковее другого.

t184256 ★★★★★
()
Ответ на: комментарий от ford1813

Бггг) Джуны такие милые.

А если серьезно, для ненужного локалхоста личного бложика такого может и хватит, но в продакшене твой «хитроумный» порт абсолютно ничего не меняет, а iptables отправят сервак в своп если ресурсы маленькие + ботов много + слишком много правил в iptables.

Пока не перенесла свой локалхост на амазон, мой нестандартный порт находился ботами практически сразу и на fail2ban им было пофигу, один ip банится, другой сканирует. Енто на сервачке с двумя десятками посетителей в день максимум, в продакшене с нормальным трафиком, твой iptables тебе выльется в лютый звиздец.

Murg ★★★
()
Ответ на: комментарий от ford1813

Security by obscurity тебя защитит ровно на незнание порта, а порты сканируются. Потом все равно fail2ban/sshguard, который реально защищает, так что смысла в твоей мере «безопасности» исчезающе мало, одни неудобства самому себе же.

t184256 ★★★★★
()
Ответ на: комментарий от ford1813

Тут такое дело,А есть какая-то оценка на то, сколько раз тебе на разный лад разжевывать довольно немудреные истины или ты бесконечно будешь юзать фразу «лишь бы в лужу пукнуть» как оберег от включения мозга?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Ну мне смена порта неудобств не доставляет , fail2ban как стоял так и стоит же, я просто не понял к чему был ваш высер выше?

И одно из этих слагаемых много бестолковее другого.

ford1813
()
Ответ на: комментарий от ford1813

Смена порта как псевдомера безопасности много бестолковее установки fail2ban/sshguard. Настолько, что пользой от нее можно пренебречь.

И на будущее, в приличном обществе не принято реагировать на собственное непонимание агрессивными сочинениями на анально-фекальную тематику. Не понял - подумай подольше, все еще не понял - спокойно переспроси.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Очередной высер, я так понял по твоей теме к IT ты имеешь отношение - проходил/щупал/слышал?

Смена порта как псевдомера безопасности много бестолковее установки fail2ban/sshguard. - предложи мне альтернативу), расскажи мне неучу что делать нужно в подобных ситуациях, блесни умом)

ford1813
()

Спроксировать через что-нибудь, nginx например, и на проксе настроить

annulen ★★★★★
()
Ответ на: комментарий от ford1813

На вопрос, как обезопасить SSH-сервер я ответил. А «ничего нового» я тебе и не обещал, да и не может быть ничего нового в совете «не делай так, от этого нет существенной пользы», который в этом треде и так уже прозвучал раза три.

Хочешь чего-то нового? Ты - зашоренный, необоснованно самоуверенный молодой человек с еще вдвое более молодой культурой общения. Перестань давать вредные советы, ведь однажды, когда научишься либо думать, либо слушать, может стать стыдно.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Премного прошу прощение за грубость, а где собственно ответ как обезопасить SSH-сервер я ответил. (с) ? ( Еще раз прошу прощения, может я уже ослеп нахер?)

ford1813
()
Ответ на: комментарий от ford1813

к IT ты имеешь отношение - проходил/щупал/слышал?

Ага, ну разве что преподаю еще. Сети, например, четвертый год как.

Смена порта как псевдомера безопасности много бестолковее установки fail2ban/sshguard. - предложи мне альтернативу), расскажи мне неучу что делать нужно в подобных ситуациях, блесни умом)

Установить fail2ban/sshguard без смены порта. Расскажи лучше ты нам то, что реально непонятно - как это можно было и не осознать, и не услышать, за столько-то повторений?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Непонятно к чему ты написал вот это:

18 год, а этот совета кусок еще всплывает...(С)


Что плохого в смене стандартного порта + установленный fail2ban/sshguard ?

ford1813
()
Ответ на: комментарий от ford1813

мои:

аналог denyhost? (комментарий) (слишком тонким, как выяснилось, намеком) аналог denyhost? (комментарий) (помимо полного объяснения нижележащей логики приведено противопоставление развертыванию fail2ban/sshguard)

и теперь еще и

аналог denyhost? (комментарий) (прямее уже некуда)

не мои:

аналог denyhost? (комментарий) (заметь «вместо фаервола»)

t184256 ★★★★★
()
Ответ на: комментарий от ford1813

Что плохого в ненужном действии не повышающем безопасность кроме как through obscurity (т.е. эффективно никак), но требующем дополнительной настройки на сервере и всех клиентах? Особенно если все равно от перебора все равно защищает действительно полезная мера безопасности?

Да ненужность же.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Ну к сожаления а может и к счастью - мне пока так не везло, у меня порты повторно боты не просканивали. Если сильно приспичит сервер задолбать, то уж тут вообще ничего не спасет.

ford1813
()
Ответ на: комментарий от ford1813

Да не в этом дело. На вопросы безопасности смотреть надо несколько иначе.

Твое анекдотичное «мне пока так не везло» не котируется не из-за твоей выборки и не из-за наличия в природе столь же неважного и анекдотичного противоположного мнения «мой нестандартный порт находился ботами практически сразу» (Murg), а потому что важна в первую очередь теоретическая возможность атаки, далеко после нее ее практическая целесообразность, и только потом текущая распространенность.

Fail2ban «защищает» от перебора, делая его нецелесообразным. Твою же смену порта можно массово раскрывать пренебрежимо быстрым в сравнении сканированием портов. И написать скрипт, который это автоматизирует - плевое дело. Итого мы имеем безопасность уровня «дорого и долго, но можно» против уровня «а меня не сканируют, конкретно мои атакующие поленились». Да, принцип «дверь должна выглядеть крепче, чем у соседа» статистически уменьшит шансы на ограбление, но по сравнению с реально предотвращающими доступ мерами прям-таки абсурден.

Другой пример из той же оперы: страшно подумать, что было бы, если, например, криптографические алгоритмы отправляли на пенсию не после доказательства сокращения пространства перебора, а когда на реальной, готовой и «дешевой» атаке обжегся бы каждый второй ford1813. Так дела не делаются.

t184256 ★★★★★
()
Ответ на: комментарий от ford1813

Дык, выше писала же...

ссш трафик с левых айпишников не должен доходить до сервака.

В случае облаков, какой нибудь security group, в случае физического сервака, какой-нибудь сиськой (или что там у тебя перед серваком стоит), если сервак в кластере, то у него вообще нет внешнего айпишнега, а заходят на него через какой нибудь обезопасенный джамп.

Если все енто невозможно, велосипед всегда спасёт. Тут какой-то чел, слал письмо со своим айпишнегом на почту, которую читал серв, а тот открывал порт для полученного айпишника, а для всех остальных айпишнеков, порт был тупо filtered и пытаться залогиниться боты совсем никак не могли.

В общем, зависит на чем ты колхозишь «секурность».

Murg ★★★
()
Ответ на: комментарий от Murg

<завернуть в другой протокол спасет>

вот с этим поди поспорь

велосипед всегда спасёт. Тут какой-то чел, слал письмо со своим айпишнегом на почту

Ему про более быстрый и менее палевный port knocking не рассказали? Занятный мрак.

В общем, зависит на чем ты колхозишь «секурность».

Это плохой сценарий, когда секурность колхозят. Не надо такое поощрять. Этот вот порт сменил и заработал лишь геморрой и ложное чувство безопасности, другой поверх развесистой, ненадежной и неконтролируемой сторонней инфраструктуры сделал себе дырень и рад. Как его велик защищен от подделки адреса отправителя? Принципом неуловимого Джо?

Нафиг колхозы.

t184256 ★★★★★
()
Ответ на: комментарий от ford1813

Охотно верю, но только ты тут при чем? Это ты - тот админ с приоткрыванием порта по письму, о котором писала Murg?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Нет, я не до такий степени извращенец, дальше knockd у меня дело не заходило)

ford1813
()
Ответ на: комментарий от t184256

Я не писала о заворачивании в другой протокол, я писала о том что боты до сервака доходить не должны, а не быть фильтрованными серваком.

Такое не всегда возможно если твой хостер УГ и сервак смотрит прямо в интернет.

Ему про более быстрый и менее палевный port knocking не рассказали? Занятный мрак.

Я хз, но фаервол через мыло лучше чем тупо открытый порт.

Это плохой сценарий, когда секурность колхозят. Не надо такое поощрять. Этот вот порт сменил и заработал лишь геморрой и ложное чувство безопасности, другой поверх развесистой, ненадежной и неконтролируемой сторонней инфраструктуры сделал себе дырень и рад. Как его велик защищен от подделки адреса отправителя? Принципом неуловимого Джо?

Принципом security through obscurity, тоесть секурность а ля вместо незапертой калитки, калитка на шпингалете. =В

Ну или как-то так

Нафиг колхозы.

+1

Murg ★★★
()
Ответ на: комментарий от Murg

Я не писала о заворачивании в другой протокол, я писала о том что боты до сервака доходить не должны

Я о «а заходят на него через какой нибудь обезопасенный джамп.»

Я хз, но фаервол через мыло лучше чем тупо открытый порт.

Это если

1) миру лень думать, как его на этом поиметь. Например смотри - у двух почтовых серверов теперь есть классный лог-след с кучей метаданных: откуда он заходил, куда, когда, из какой таймзоны... Нормально?

2) весь этот велосипед абсолютно надежен. Упадет его явно не супераккуратно написанный демон и не рестартнется - что он делать будет?

В общем случае надо считать, что велосипед хуже, пока не доказано обратное или хотя бы кто-то со стороны это не проаудитил.

Принципом security through obscurity, тоесть секурность а ля вместо незапертой калитки, калитка на шпингалете. =В

Ну да, ОК, потайном шпингалете в самом неудобном месте.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Я о «а заходят на него через какой нибудь обезопасенный джамп.»

и через ВПН и только с корпоративного ноута с антивирем и без розовых пони :D

Если честно не особо их люблю, они могут быть централизованной дырой. Редко где вствечается полная автоматизация, где админам не надо логиниться на серваки, я копаю в ту сторону.

Джамп, одна из хреней, которую легаси админам сложно отпустить.

1) миру лень думать, как его на этом поиметь. Например смотри - у двух почтовых серверов теперь есть классный лог-след с кучей метаданных: откуда он заходил, куда, когда, из какой таймзоны... Нормально?

Ясен пень что не нормально, но миру действительно лень. Зачем его сервак ботам? Майнить, да слать спам. Он не мегасуперпупер архиважная личность. Если ему хотят напакостить, то кто-то близкий, а сферическому хацкиру в вакууме енто не нужно.

Если же он у себя в продакшене такую хрень творит или работает в каокйнибудь крупной конторе, чья инфа кому-то интересна, дело обстоит совсем иначе.

Исходя из вопроса и из того, что последнее обновление у него было в 2016, я все же думаю, что он все же любитель/джун.

2) весь этот велосипед абсолютно надежен. Упадет его явно не супераккуратно написанный демон и не рестартнется - что он делать будет?

ХЗ. Развернуть скриптами новый сервак? восстановить бакап/снапшот? поплакаться саппорту что бы прихреначили КВМ? примонтировать /dev/sda на новый серв и скопировать что нужно? Мысли читать не умею, а он не говорил на чём у него серв крутится.

Я лично вообще проповедую, что потеря серваков не должна ни на что влиять (типо IaС) и свято верю в autoscaling.

Murg ★★★
()

Один, два, десяток ip поблочить лучше фаерволлом. Сотню-другую fail2ban плюс смена порта (тоже-самое, но автоматом). При большем кол-ве запросов (скорее всего много большем, замерами не занимался) схватишь ддос при использовании. Вот сиди и считай что выгоднее, 10000 обработанных или столько-же откинутых. З.Ы. С твоего альтернативного порта скорее всего уже какой shodan или censys баннер и отпечаток пакетов снял.

anonymous
()
Ответ на: комментарий от ford1813

предложи мне альтернативу), расскажи мне неучу что делать нужно в подобных ситуациях, блесни умом)

выключить аутентификацию по паролям и всё.

ivlad ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.