У меня пароль на сервер состоит обычно из 12 случайных буквоцифр

почему не ключ и отключенный пароль?

потому что боюсь что другие боты смогут это сделать быстрее меня

особенно эти боты на лиспе...они такие бестактные

А вот допустим у них ботнет на десять миллионов машин. И тогда они подберут пароль всего за 10^4 лет!

почему не ключ и отключенный пароль?

Ключ есть, естественно, но исключительно для удобства. Отключать пароль смысла не вижу, могут быть ситуации, когда пароль может оказаться удобней.

Скорее меня хостер отключит за ддос :)

Мало ли. Так спокойнее. Да и нафига давать долбить сервер запросами? Нужно следить за безопасностью.

Потому что взлом через подбор пароля к ssh до сих пор является одной из самых частых причин взлома.

В очередной раз читаю рекомендации по переносу ssh порта, бану после трёх неудачных попыток логина и т.д., и мне до сих пор не понятно - зачем?

Я например просто не люблю мусор в логах. А при появлении попыток логина ssh на случайном порту сразу ясно что кто-то целенаправлено сканил сервера.

так ты тоже боишься, иначе зачем тебе такой сложный пароль? трус.

Не поверишь... У меня однажды как нагрянули боты, так я на сервак не смог зайти. А все потому, что после неудачной попытки ssh делает паузу в 3-5 сек (точно не помню), в итоге были исчерпаны все сосеты. Понимаю, что такое бывает очень редко. Но порой секунды решают все.

Потому что эти уроды могут забить весь канал и засрать логи.

Потому что пароли вида "Kiss my ass" или "12345"

А на моей работе у шефа пароль 7777777 :)

У меня пароль на сервер состоит обычно из 12 случайных буквоцифр.

А вот такой пароль действительно ничем не лучше ключа, даже хуже(ибо короче), т.к. его всё равно не запомнишь и надо хранить где-то.

Не боюсь, потому что вход по паролю отключен.

Шеф джашл небось? У них семерки в моде.

Шеф джашл небось?

Это это?

паразитная нагрузка, засирание логов

была потребность сбросить рутовый пароль на rootroot.
боты подобрали за 4 часа. узнал по логам системд

Это те же люди, что блокируют весь ICMP, ибо «секурно»

У меня пароль на сервер

Только ключи с пассфразой.

У тебя разрешено под рутом по ссш заходить? О_о

DoS журнала путём засирания диска.

//юзаю ключи везде

sshd не умеет в ВЕБСКЕЙЛ, он сдохнет гораздо раньше.

оказывается да. дефолтная настройка федоры.
selinux и нестандартная архитектура CPU привела к тому что скомпилированный под x86 троянец не отработал, а шеллскрипты которые чистят логи, засовывают себя в кронтаб - почистили текстовые логи, ен справились с кронтабом, и довели его до 200тыс записей комментариев, что крон начал тупить при ежеминутных парсингах.
слава Поттерингу и его journald, иначе я бы так и не узнал в чём дело.

[x] история успеха

У меня пароль на сервер состоит обычно из 12 случайных буквоцифр.

Удивительно, что ещё никто не скинул.

Логи засирают же

У меня пароль на сервер состоит обычно из 12 случайных буквоцифр

А если у тебя мащинок по ssh сильно больше одной? Использую ключ, вход только под юзером, и не боюсь никаких ботов.

У нас пароль от компа с Odin Ass - «passw0rd». Правда там XP, так что в принципе любой пароль при наличии флэшки с линуксом взламывается за 5 минут.

1. Потому что секурней.

2.

iptables -N SSHDROP
iptables -A INPUT -p tcp --dport 12345 -m state --state NEW -j SSHDROP
iptables -A SSHDROP -m recent --set --name SSH
iptables -A SSHDROP -m recent --update --seconds 300 --hitcount 5 --name SSH -j DROP

5 неудачных попыток, и ты гуляешь лесом на 5 минут.

Я например просто не люблю мусор в логах.

Это интернет. Тут на всех портах долбятся боты. И на 80м, и на 443, и на 25м, и на фтп наверное долбятся. Не любишь мусор - фильтруй его и всё.

А при появлении попыток логина ssh на случайном порту сразу ясно что кто-то целенаправлено сканил сервера.

И что потом делать с этим знанием?

А вот такой пароль действительно ничем не лучше ключа, даже хуже(ибо короче), т.к. его всё равно не запомнишь и надо хранить где-то.

1. Легко можно запомнить. 2. Легко можно записать.

Хранить, конечно, нужно.

У меня пароль на сервер состоит обычно из 12 случайных буквоцифр

И записан на бумажке, приклееной к монитору? Или ты обладаешь феноменальной памятью - запоминаешь по многу комбинаций из случайный буквоцифр?

iptables

Имхо это засирание памяти ядра. Ему надо запоминать, с каких адресов к нему стучались на этот порт за последние 5 минут, чтобы это правило работало.

И записан на бумажке, приклееной к монитору? Или ты обладаешь феноменальной памятью - запоминаешь по многу комбинаций из случайный буквоцифр?

Записан в файле ~/Documents/Passwords/me.

В повседневной жизни захожу по ключу, но если надо будет зайти с другой машины, например, пароль всегда есть.

Записан в файле ~/Documents/Passwords/me.

«Записан» - это значит, что под твоим попечением одна машина или пароль один для нескольких машин?

В повседневной жизни захожу по ключу

Большое спасибо, достаточно.

«Записан» - это значит, что под твоим попечением одна машина или пароль один для нескольких машин?

Меньше десяти. Видел людей, у которых было сильно больше десяти, так же был файлик с паролями. В чем проблема?

Меньше десяти. Видел людей, у которых было сильно больше десяти, так же был файлик с паролями.

Если бы еще у этих людей в качестве пароля юзера было имя подруги или кошки - совсем здорово.

В чем проблема?

В чем проблема храненият незашифрованных паролей? Безопасник объяснит. А я спрашиваю, потому что мне просто любопытно, а в хедпосте ты описал ситуацию несколько туманно.

Не боюсь, но вполне может уберечь от эксплауатации дырок в ssh. А по паролю ходить ко мне бесполезно. Только по ключам.

Плюсую. Всегда потешался над такими людьми.

Маленькие ещё, вот и боятся. А ещё они боятся темноты, монстров под кроватью и стуков в ssh-порт.

Потому что взлом через подбор пароля к ssh до сих пор является одной из самых частых причин взлома.

Самая частая причина взлома - веб уязвимости.

FFGJ

Потому что взлом через подбор пароля к ssh — мифичксая атака, которую никто никогда в жисть не видел и не слышал.

Т.к. перебор паролей через ssh — невыгодная операция ввиду накладных расходов на шифрование. А от паролей `root123' вообще ничего не спасает, и атакой это считать нельзя.

Я не боюсь, я просто не люблю засранные логи.

Это интернет. Тут на всех портах долбятся боты.

Это миф. Перевесь свой SSH порт на какой нибудь 42XYX и посмотри сколько ботов к тебе постучится.

И что потом делать с этим знанием?

Например посмотреть кто ещё куда коннектился в тот же временной промежуток. Если у твой локалхост никому не нужен ещё не значит, что каждый сервер никому не нужен.

Потому что, если сервер в продакшене, и зловредный дятлопрогер поменял свой пароль на qwerty12345 (воспитанию не подлежит, бить по лапам насяльника не разрешает), ты об этом не узнаешь, а бот залогинеться за 5 минут.

Так что, недефолтный порт, пароль и рут логин убираются, а ССШ ключи добавляюься лдапопаппетом.

Кодер конечно может строчить злобные записки насяльнику, но после пароля «Ping&Fluffy&UnicornsDancingOnRainbows13666!» перестает сношать мозг.

Бонус: если его уволили, то убрать его доступ занимает минуту, вместо убитых пары дней тупого userdel $username.

На подбор тратится ТВОЙ трафик же...