LINUX.ORG.RU
ФорумTalks

Аккуратнее с ssh


0

0

Вот один день посидел с внешним IP-адресом, и нате пожалуйста: индусы какие-то по ssh ломятся:

May 15 15:42:15 Notebook sshd[18851]: Did not receive identification string from 211.110.213.50
May 15 15:47:42 Notebook sshd[19169]: Invalid user admin from 211.110.213.50
May 15 15:47:45 Notebook sshd[19173]: Invalid user test from 211.110.213.50
May 15 15:47:48 Notebook sshd[19182]: Invalid user guest from 211.110.213.50
May 15 15:47:52 Notebook sshd[19186]: Invalid user webmaster from 211.110.213.50
May 15 15:47:55 Notebook sshd[19195]: Invalid user mysql from 211.110.213.50
May 15 15:48:02 Notebook sshd[19204]: Invalid user oracle from 211.110.213.50
<skip>
May 15 15:50:11 Notebook sshd[19442]: Did not receive identification string from 211.110.213.50

Самое смешное, что меньше чем через час после этих событий я создал себе пользователя guest с пустым паролем и разрешенным доступом по ssh, а уже после этого случайно глянул в лог.

Так что придумываем пароли позаковыристей :-)

anonymous

Устрица, а логины без пароля признак ЯХВБР.

wfrr ★★☆
()

$IPT -A INPUT -p tcp --syn --dport 22 -m recent --name pidary --set
$IPT -A INPUT -p tcp --syn --dport 22 -m recent --name pidary --update --seconds 300 --hitcount 6 -j LOG --log-level info --log-prefix "SSH SCAN blocked: "
$IPT -A INPUT -p tcp --syn --dport 22 -m recent --name pidary --update --seconds 300 --hitcount 6 -j DROP

Deleted
()

Это распространенное явление. Имеет смысл прикрыть от негодяев свой 22 правилами iptables.

LexxTheFox ★★
()

> Так что придумываем пароли позаковыристей :-)

никогда не понимал, в чем смысл поднимать ssh с аутентификацией по паролю, когда есть ключи :-?

// wbr

klalafuda ★☆☆
()

фигня, вот я это обнаружил только через три недели после того, как случайно открыл ssh наружу. кстати, никто так и не угадал моего пользователя

generatorglukoff ★★
()

повесь sshd на другой порт повыше и не парься.

isden ★★★★★
()
Ответ на: комментарий от anonymous

они постоянно так делают. дебианобаг тут непричем

Muromec ☆☆
()
Ответ на: комментарий от Deleted

Увы, от пустого пароля это не спасёт. И имхо это вообще защита весьма условная. Зато на нестандартном порту обычно никто ничего не сканирует.

alexsaa
()
Ответ на: комментарий от Deleted

> $IPT -A INPUT -p tcp --syn --dport 22 -m recent --name pidary --update --seconds 300 --hitcount 6 -j LOG --log-level info --log-prefix "SSH SCAN blocked: "

Некрасиво и плохо, и вообще может заблокировать легитимных пользователей. Лучше уж denyhosts осилить.

anonymous
()
Ответ на: комментарий от anonymous

>Некрасиво и плохо, и вообще может заблокировать легитимных пользователей. Лучше уж denyhosts осилить.

вот как раз denyhosts практически гарантированно заблокирует легитимных пользователей. =)

geek ★★★
()
Ответ на: комментарий от klalafuda

Много плюсов! Аутентификация строго по ключам + совсем для параноиков можно перевесить демона на другой порт.

boombick ★★★★★
()

Буквально вчера поставил blocksshd. Хотя вначале рекомендовали sshguard, но он у меня, увы, не взлетел...

eugine_kosenko ★★★
()
Ответ на: комментарий от alexsaa

> Увы, от пустого пароля это не спасёт. И имхо это вообще защита весьма условная. Зато на нестандартном порту обычно никто ничего не сканирует.

За пустой пароль оторву йайцы, все знают это :)

Deleted
()

А я выбираю из /etc/services порт, в который никакой ксапеп в здравом уме не будет долбить, и вешаю на него sshd.

as33 ★☆☆
()
Ответ на: комментарий от Deleted

юзерам с пустыми паролями можно запретить доступ по ссш (PermitEmptyPasswords no)

Nao ★★★★★
()
Ответ на: комментарий от Nao

> Косяк связан с генерацией и DSA и RSA ключей

таки проблемы по ссылке - это сугубо дебиановские проблемы. они что-то пропатчили на свой стиах и риск тем самым сломав openssl. дураки. потом очухались - нашли и пофиксили. молодцы.

какое это имеет отношение к sshd на моей FC и аутентификации по ключам :-? да и пусть хотя бы и на дебиане того периода времени, когда уже есть ключи.

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от alexsaa

> Зато на нестандартном порту обычно никто ничего не сканирует.

4.2, буквально на днях кто-то тут говорил что обнаружил робота долбящегося ему во все порты и пытающегося на любом открытом порту установить ssh-соединение.

slav ★★
()

а ещё в линуксе PermitRootLogin yes by default..

se ★★
()
Ответ на: комментарий от slav

ключевое слово - обычно

К тому же, как раз таких на файрволле отлавливать проще.

alexsaa
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.