LINUX.ORG.RU
KDE ... Google?!
sfp to медиаконвертер

1 2

Если пароли пользователей ставишь лёгкие, то однозначно нужно, не обязательно на локалхосте, можно на роутере (если обитателям домашней сети можно более-менее доверять). А то по дефолту, например, ssh пускает любого пользователя по его паролю.

Ttt ☆☆☆☆☆
()

А у вас настроен iptables?

он не стоит.

ymuv ★★★★
()
Ответ на: комментарий от Ttt

А правила — как здесь: http://www.ylsoftware.com/news/600 с поправкой на ipv4, но там вроде только название утилиты поменять. Ну и с поправкой на нужные тебе порты.

Ещё, если используется multicast, то нужно правило:

iptables -A INPUT -d 224.0.0.0/4 -j ACCEPT

Ttt ☆☆☆☆☆
()
Последнее исправление: Ttt (всего исправлений: 1)
Ответ на: комментарий от bsdfun

В смысле ты за своим роутером? Если нет, то в провайдерской сети у тебя, скорее всего, есть свой IP.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt

Я в принципе и задумался по этому.
У меня адрес через adsl, но потом идет роутер. Так что по большому счету за NAT и не требуется firewall.

Linuxman
() автор топика

На всех моих машинках (и домашних, и рабочих) есть и белый статичный IPv4, и IPv6.

iptables используется только на работе, так как там надо прикрывать доступ к некоторым портам.

А в остальном - только настроенный fail2ban и всё, остальное - ACCEPT по дефолту.

Хотя я думал, что надо бы выделить время и сделать правила для отдельных приложений, да всё руки не доходят.

Chaser_Andrey ★★★★★
()
Последнее исправление: Chaser_Andrey (всего исправлений: 1)

Стоит, но не настроен.

olibjerd ★★★★★
()
Ответ на: комментарий от Ttt

C другой стороны 22 порт смотрит наружу, а я об этом не думал даже. Залез в логи, а там 3 дня uptime 

Invalid user postgres from 202.102.70.84
Dec 12 14:04:22 linuxman sshd[2471]: input_userauth_request: invalid user postgres [preauth]
Dec 12 14:04:22 linuxman sshd[2471]: pam_unix(sshd:auth): check pass; user unknown
Dec 12 14:04:22 linuxman sshd[2471]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruse
Dec 12 14:04:25 linuxman sshd[2471]: Failed password for invalid user postgres from 202.102.70.84 port 41906 ssh2
Dec 12 14:04:25 linuxman sshd[2471]: Received disconnect from 202.102.70.84: 11: Bye Bye [preauth]
Dec 12 14:04:26 linuxman sshd[2475]: Invalid user user from 202.102.70.84
Dec 12 14:04:26 linuxman sshd[2475]: input_userauth_request: invalid user user [preauth]
Dec 12 14:04:26 linuxman sshd[2475]: pam_unix(sshd:auth): check pass; user unknown
Dec 12 14:04:26 linuxman sshd[2475]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruse
Dec 12 14:04:27 linuxman sshd[2475]: Failed password for invalid user user from 202.102.70.84 port 42603 ssh2
Dec 12 14:04:27 linuxman sshd[2475]: Received disconnect from 202.102.70.84: 11: Bye Bye [preauth]
Dec 12 14:04:29 linuxman sshd[2477]: Invalid user admin from 202.102.70.84
Dec 12 14:04:29 linuxman sshd[2477]: input_userauth_request: invalid user admin [preauth]
Dec 12 14:04:29 linuxman sshd[2477]: pam_unix(sshd:auth): check pass; user unknown
Dec 12 14:04:29 linuxman sshd[2477]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruse
Dec 12 14:04:30 linuxman sshd[2477]: Failed password for invalid user admin from 202.102.70.84 port 43028 ssh2
Dec 12 14:04:31 linuxman sshd[2477]: Received disconnect from 202.102.70.84: 11: Bye Bye [preauth]

Linuxman
() автор топика
Ответ на: комментарий от Linuxman 
Invalid user taz from 218.108.85.250
Dec 13 08:20:51 linuxman sshd[23808]: input_userauth_request: invalid user taz [preauth]
Dec 13 08:20:51 linuxman sshd[23808]: pam_unix(sshd:auth): check pass; user unknown
Dec 13 08:20:51 linuxman sshd[23808]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh rus
Dec 13 08:20:53 linuxman sshd[23808]: Failed password for invalid user taz from 218.108.85.250 port 38563 ssh2
Dec 13 08:20:53 linuxman sshd[23808]: Received disconnect from 218.108.85.250: 11: Bye Bye [preauth]

Особенно улыбнуло, но печаль что 3+ дня брута были =)

Linuxman
() автор топика

грепнул по юзеру - пусто, ну по руту , естественно, 30+ попыток с разных IP в течении "...барабанная дробь..." 3 месяцев =)

Linuxman
() автор топика
Ответ на: комментарий от Ttt

По дефолту сервер ssh не установлен/не запущен.

tuxin
()

1. Fail2ban
2. SNAT
3. MULTICAST ALLOW(IPTV)
4. INPUT REJECT ALL EXCEPT PORTS

Ну собственно, это все правила, если не считать openvpn во все стороны =)

fjfalcon ★★★
()

На работе стоит. Конфига показывать нет большого смысла, ибо специфичный. 

iptables-save | wc -l
121
Дома же нет дефолтного маршрута, так что таблесы не нужны.

redgremlin ★★★★★
()
Ответ на: комментарий от fjfalcon

арчепроблема, fail2ban не заводиться =)

Linuxman
() автор топика

Настроен. Окрыты лишь те порты, которые нужны. Ну и NAT как-то без iptables тяжковато было бы сделать.

работа: 

iptables-save | wc -l
165

Eddy_Em ☆☆☆☆☆
()
Последнее исправление: Eddy_Em (всего исправлений: 1)

Настроен, открыты только нужные порты. Но это так, чтобы было, а не от необходимости. Главное - SSH на 22 порту не оставлять.

Axon ★★★★★
()
Ответ на: комментарий от Axon

Главное - SSH на 22 порту не оставлять.

Он же про локалхост спрашивает, а не компьютер с внешним статическим айпишником!

// а что, часто долбят в 22-й порт?

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

внешним статическим айпишником!

статика даже не нужна, даже если у тебя будет динамический ип, к тебе всё равно будут долбится по стандартным портам

часто долбят в 22-й порт?

асто

daemonpnz ★★★★★
()
Ответ на: комментарий от Eddy_Em

а что, часто долбят в 22-й порт?

У меня раза два в день.

redgremlin ★★★★★
()

На локалхосте никак. Перед локалхостом стоит микротик с одной строчкой masquerade и всё - локалхост извне недоступен.

yu-boot ★★★★★
()
Ответ на: комментарий от Eddy_Em

а что, часто долбят в 22-й порт?

Часто, у меня на домашнем ПК за два года около 31,000 попыток входа, учитывая что включен он не постоянно.

Бывало и такое:

$ grep 'Jan 18.*Name: ' messages-archive | wc -l
972

972 попытки за день — не DoS конечно, но довольно агрессивно.

Jan 18 06:47:20 localhost sshd[21774]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-43799;Name: root [preauth]
Jan 18 06:47:21 localhost sshd[21776]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-44441;Name: root [preauth]
Jan 18 06:47:23 localhost sshd[21778]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-45128;Name: root [preauth]
Jan 18 06:47:25 localhost sshd[21780]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-45780;Name: root [preauth]
Jan 18 06:47:27 localhost sshd[21782]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-46630;Name: root [preauth]
Jan 18 06:47:28 localhost sshd[21784]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-47523;Name: root [preauth]
Jan 18 06:47:30 localhost sshd[21786]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-48138;Name: root [preauth]
Jan 18 06:47:31 localhost sshd[21788]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-49013;Name: root [preauth]
Jan 18 06:47:33 localhost sshd[21790]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-49597;Name: root [preauth]
Jan 18 06:47:35 localhost sshd[21792]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-50449;Name: root [preauth]
Jan 18 06:47:37 localhost sshd[21794]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-51318;Name: root [preauth]
Jan 18 06:47:39 localhost sshd[21796]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-51952;Name: root [preauth]
Jan 18 06:47:40 localhost sshd[21798]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-52766;Name: root [preauth]
Jan 18 06:47:42 localhost sshd[21800]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-53628;Name: root [preauth]
Jan 18 06:47:44 localhost sshd[21802]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-54479;Name: root [preauth]
Jan 18 06:47:46 localhost sshd[21804]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-55331;Name: root [preauth]
Jan 18 06:47:47 localhost sshd[21810]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-55951;Name: root [preauth]
Jan 18 06:47:49 localhost sshd[21812]: SSH: Server;Ltype: Authname;Remote: 61.143.160.148-56592;Name: nagios [preauth]
edigaryev ★★★★★
()
Последнее исправление: edigaryev (всего исправлений: 1)
Ответ на: комментарий от Eddy_Em

У меня вон 3 месяца висел, каждый день добились, причем есть упоротые китайцы с хоумпейджами на обратном конце:)

Linuxman
() автор топика

Настроен на домашнем роутере, правил минимум, NAT, входящие для openvpn, что-то для iptv и dlna в локалке. ssh за knockd, ну и upnpd.

ollowtf ★★★
()
Ответ на: комментарий от Eddy_Em

Он же про локалхост спрашивает, а не компьютер с внешним статическим айпишником!

Ну, на моём локалхосте внешний статический айпишник. :-) А если его нет, то и от SSH толку мало.

а что, часто долбят в 22-й порт?

У себя не проверял, но, вообще, очень. В основном, китайцы брутят.

Axon ★★★★★
()

Он скриптом генерируется, так что лучше тебе туда не заглядывать. Открыты только нужные порты.

Deleted
()
Ответ на: комментарий от redgremlin

Я так думаю если все грепнут свои логи, то 90% адресов брутящих китаясов совпадут) 

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.173.194.34  user=root
Dec 16 19:18:58 linuxman sshd[15273]: Failed password for root from 222.173.194.34 port 41752 ssh2
Dec 16 19:18:58 linuxman sshd[15273]: Received disconnect from 222.173.194.34: 11: Bye Bye [preauth]
Dec 16 19:19:00 linuxman sshd[15276]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.173.194.34  user=root
Dec 16 19:19:02 linuxman sshd[15276]: Failed password for root from 222.173.194.34 port 42771 ssh2
Dec 16 19:19:03 linuxman sshd[15276]: Received disconnect from 222.173.194.34: 11: Bye Bye [preauth]
Dec 16 19:19:05 linuxman sshd[15279]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.173.194.34  user=root
Dec 16 19:19:06 linuxman sshd[15279]: Failed password for root from 222.173.194.34 port 43718 ssh2
Dec 16 19:19:07 linuxman sshd[15279]: Received disconnect from 222.173.194.34: 11: Bye Bye [preauth]

Linuxman
() автор топика

Simple Stateful Firewall с арчвики (Eng.)

Из сервисов - только самба.

greenman ★★★★★
()

Весь конфиг вываливать смысла не вижу, а опа, наверное, заинтересует это: 

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH --rsource -j DROP

aidaho ★★★★★
()
Ответ на: комментарий от tazhate

Если у вас везде авторизация строго по запароленному ключу, то бугога. А так - либо fail2ban, либо искренняя вера в лучшее. :-)

Axon ★★★★★
()
Последнее исправление: Axon (всего исправлений: 1)
Ответ на: комментарий от Eddy_Em

Он же про локалхост спрашивает, а не компьютер с внешним статическим айпишником!

Хз, как у вас, а у нас надо ещё поискать провайдера, юзерам которого не дают реальный IP. У многих провайдеров он ещё и статический по дефолту, а те, которые дают динамику - там айпишник может месяцами не меняться, так его можно считать «почти статическим». Разве что всякие старые ADSL и провайдеры глубинок с сотней-второй юзеров.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от redgremlin

бывает авторизация по незапароленному ключу, а ещё бывает авторизация по 14-16-значному паролю из символов из разных групп (/me помнит и юзает примерно штук 6 напамять, остальные - из менеджера паролей).

При использовании fail2ban и использовании сильных паролей не вижу объективных причин переходить на publickey-only авторизацию.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Хз, как у вас, а у нас надо ещё поискать провайдера, юзерам которого не дают реальный IP

А у нас — через проксю.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от redgremlin

А что, бывает по другому? Ну кроме кульхацкеров?

Обычно авторизацию по паролю не отключают. И ключи, в основном, без паролей у людей. У меня так, например.

Axon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
KDE ... Google?!
Talks
sfp to медиаконвертер