LINUX.ORG.RU

20 советов по безопасному использованию сервера OpenSSH

 , ,


0

0

SSH идеально подходит для сохранения конфиденциальности и обеспечения целостности данных при обмене данными между двумя сетями или системами. Основным его преимуществом является аутентификация на сервере с использованием криптографии с открытым ключом. Однако эту службу необходимо грамотно настроить.

>>> Статья

реклама OpenSSH? ибо на новость как-то не очень похоже

anonymous
()

Неплохо, надо бы некоторые правила проверить и реализовать.

Irben ★★★
()
Ответ на: комментарий от lioncub

Ндааа... Как-то уныло... "понравился" совет #16. Про предотвращение брутфорса. Рискну предложить свой вариант решения проблемы.

"Все знают" что 22/TCP это SSH. Уберите его на другой порт > 1024. Тем самым можно убрать с глаз долой SSH. И, в случае, если используется конфигурация или железо для блокирования скана портов, то очень долго его будут искать. А леммингам он один чёрт на фиг не нужен.

Зачем ставить доп. ПО, если можно поступить проще?

anonymous
()
Ответ на: комментарий от anonymous

> man nmap

Just use a Cisco ASA (например)... И проблем будет намного меньше. Она это умеет блокировать. А, при настройке в "агрессивном режиме", когда по логам, которые сохраняются через syslog, на ругой маине и там же обрабатываются, программно вносится блокировка сканящего опосля трёх попыток скана, до, скажем, порта 4444, добираться сложно. А всего их 65К. Так что, сканящему придётся развлекаться очень долго.

anonymous
()
Ответ на: комментарий от anonymous

Добавлю, что там (на АСА) много вариантов -- в том числе и используя регэкспы банить по ряду вариантов. В конце-концов, она окупается. А грузить сильно и без того нагруженный хост, не думаю что хорошая идея.

anonymous
()

Страница сверстана говено, горизонтальный скролинг убивает.

sdio ★★★★★
()
Ответ на: комментарий от Cosmicman

Да. Есть. Но я предпочитаю им не пользоваться. Просто, сервакам и так тяжко... А случаи скана относительно редки и занимают от трафика не очень большой процент. Грузить ещё просто рука не поворачивается.

anonymous
()
Ответ на: комментарий от anonymous

Добавлю. В конечном итоге, "сканнерщик" малость потоптавшись "у входа" разворачивается и уходит. В редких случаях он борется с системой, но это уже скрипты, а против них другие скрипты работают.

Китайцы, правда, составляют редкое исключение из правил. Но с ними проще. У них "интернет", насколько я знаю, раздаётся по провинциям. Просто бан без разговоров. Вот и всё. Разве что иной раз кто прорвётся... Ну, салазочки точно так же и завернём.

anonymous
()
Ответ на: комментарий от anonymous

Совет 1-й (и видимо последний). "Отключите SSH-сервер если у вас CentOS или Fedora или RHEL". Правильно! А зачем он вам? Отключили? Вот и молодца - остальную статью можно не читать - пойдите лучше пивка бутылочку...

anonymous
()
Nov  2 22:13:09 router sshd[12154]: Invalid user karin from 60.208.113.3
Nov  2 22:13:10 router sshd[12156]: Connection from 60.208.113.3 port 29174
Nov  2 22:13:12 router sshd[12156]: Invalid user karina from 60.208.113.3
Nov  2 22:13:13 router sshd[12158]: Connection from 60.208.113.3 port 31257
Nov  2 22:13:16 router sshd[12158]: Invalid user karolina from 60.208.113.3
Nov  2 22:13:17 router sshd[12160]: Connection from 60.208.113.3 port 34320
Nov  2 22:13:19 router sshd[12160]: Invalid user katharina from 60.208.113.3
Nov  2 22:13:20 router sshd[12162]: Connection from 60.208.113.3 port 37039
Nov  2 22:13:23 router sshd[12162]: Invalid user katja from 60.208.113.3
Nov  2 22:13:23 router sshd[12164]: Connection from 60.208.113.3 port 40032
Nov  2 22:13:26 router sshd[12164]: Invalid user katrin from 60.208.113.3
Nov  2 22:13:27 router sshd[12166]: Connection from 60.208.113.3 port 43022
Nov  2 22:13:29 router sshd[12166]: Invalid user kerstin from 60.208.113.3
Nov  2 22:13:30 router sshd[12168]: Connection from 60.208.113.3 port 45189
Nov  2 22:13:33 router sshd[12168]: Invalid user kirstin from 60.208.113.3
Nov  2 22:13:33 router sshd[12170]: Connection from 60.208.113.3 port 47706
Nov  2 22:13:36 router sshd[12170]: Invalid user marie from 60.208.113.3
Nov  2 22:13:37 router sshd[12172]: Connection from 60.208.113.3 port 50764
Nov  2 22:13:39 router sshd[12172]: Invalid user sarah from 60.208.113.3
Nov  2 22:13:40 router sshd[12174]: Connection from 60.208.113.3 port 53655
Nov  2 22:13:43 router sshd[12174]: Invalid user klara from 60.208.113.3
Nov  2 22:13:43 router sshd[12176]: Connection from 60.208.113.3 port 56696
Nov  2 22:13:46 router sshd[12176]: Invalid user konstanze from 60.208.113.3
Nov  2 22:13:47 router sshd[12178]: Connection from 60.208.113.3 port 59414
Nov  2 22:13:49 router sshd[12178]: Invalid user test from 60.208.113.3
Nov  2 22:13:50 router sshd[12180]: Connection from 60.208.113.3 port 61566
Nov  2 22:13:53 router sshd[12180]: Invalid user test from 60.208.113.3
Nov  2 22:13:54 router sshd[12182]: Connection from 60.208.113.3 port 64193
Nov  2 22:13:56 router sshd[12182]: Invalid user test from 60.208.113.3
Nov  2 22:13:57 router sshd[12184]: Connection from 60.208.113.3 port 3018
Nov  2 22:13:57 router sshd[12185]: Connection from 192.168.7.9 port 3785
Nov  2 22:14:00 router sshd[12184]: Invalid user test from 60.208.113.3
Nov  2 22:14:00 router sshd[12188]: Connection from 60.208.113.3 port 5782
Nov  2 22:14:04 router sshd[12188]: Invalid user test from 60.208.113.3
Nov  2 22:14:05 router sshd[12191]: Connection from 60.208.113.3 port 8585

Меня это даже забавит

anonym_mouse3
()
Ответ на: комментарий от anonymous

>Just use a Cisco ASA (например)

жесть, циско себя рекламирует под анонимусом. зачем для блокирования портскана покупать железку за несколько k зелени?

leave ★★★★★
()
Ответ на: комментарий от anonymous

>случаи скана относительно редки

счастливые люди... у меня хостинговые сервера брутят в среднем с 5-8 хостов в сутки.

>В конечном итоге, "сканнерщик" малость потоптавшись "у входа" разворачивается и уходит

ага, часа через 2-3 :)

>Китайцы, правда, составляют редкое исключение из правил. Но с ними проще. У них "интернет", насколько я знаю, раздаётся по провинциям.

а еще бывает забавно -j DROP по /24 московских ISP вешать :) а то, как я на своем опыте узнал, абузы им писать все равно бесполезно.

leave ★★★★★
()

А главного совета-то нет.

Запретите вход по паролю, разрешите только по ключу.

$ ssh host-328 Permission denied (publickey).

bvvv
()

еще можно порекомендовать использовать ulogd для записи логов iptables. port knocking - непрактично. ограничение на количество попыток - Ъ!

cray_rus
()
Ответ на: комментарий от bvvv

> 20 советов по безопасному использованию сервера OpenSSH >№ 1: Отключите сервер OpenSSH

Дальше можно не читать :)

Stiff
()

>20 советов по безопасному использованию сервера OpenSSH >... >№ 1: Отключите сервер OpenSSH

ждём "20 советов по безопасному использованию ПК" №1: Выключаем ПК, 20 раз ударяем по жесткому диску молотком, крошки сметаем в пакетик и увозим это дело в антарктиду %)

theanonymous
()

>20 советов по _безопасному_ использованию сервера OpenSSH

>Для того, чтобы доступ в систему через SSH был разрешен только пользователям _root_...

Моя плакать

ansi ★★★★
()

Почему не годится такой вариант?
Явно прописать с каких адресов есть доступ для 22 порта, в конфиге можно перечислить все айпишники, которые используются в вашей стране. В итоге вы отрежите попытки взлома с китая, америки, аргентины, ямайки и прочих :)

pass in quick on rtk0 from 130.244.0.0/16 to 188.40.41.165 port = 22
pass in quick on rtk0 from andrey to 188.40.41.165 port = 22
pass in quick on rtk0 from 127.0.0.1 to 188.40.41.165 port = 22
pass in quick on rtk0 from 192.168.1.32 to 188.40.41.165 port = 22

pass in quick on rtk0 from 87.110.128.0/19 to 188.40.41.165 port = 22 # telecom
pass in quick on rtk0 from 84.237.196.0/20 to 188.40.41.165 port = 22 # telecom
pass in quick on rtk0 from 78.84.128.1/16 to 188.40.41.165 port = 22 # telecom

block in quick on rtk0 from any to any port = 22

anonymous
()
Ответ на: комментарий от anonymous

>В итоге вы отрежите попытки взлома с китая, америки, аргентины, ямайки и прочих :)

Т.е. попытки взлома из других стран приветствуются? :)

Use sshguard luke.

ansi ★★★★
()

Я как-то сделал так: каждые 5 минут сканировал лог неудачных соединений, и если их набиралось больше скажем 100 - этот айпишник автоматически блокировался на сутки в iptables. Немного подробности реализации: при генерации запрещающего правила создавался файл с командой удаляющей правило. Если время создания файла старше суток - выполнить этот файл и затем удалить за ненадобностью.

Возможно способ несколько извращенный, но до сих пор работающий... PS наблюдал случаи когда за время 5-и минутного "окна" набирал несколько тысяч попыток соединения. PSS ИМХО надежный пароль самое главное для безопасности

voodix
()
Ответ на: комментарий от voodix

sshguard, май либер, sshguard

Он цепляется к syslogd и ничего сканировать не надо. Всегда, так сказать на чеку.

ansi ★★★★
()
Ответ на: комментарий от ansi

строку: block in quick on rtk0 from any to any port = 22 видишь?
блокируется пакеты для 22 порта с любых адресов, ну в самом деле не буду же я перечислять весь список городов и стран.

anonymous
()
Ответ на: комментарий от anonymous

Понятно, но ламать могут и из "родных" подсетей.

ansi ★★★★
()
Ответ на: комментарий от anonymous

>man nmap

в чем-то он прав. по сети уже давно бегают не кулхацкеры а тупые боты, которые кроме 22 ничего не знают.

k0l0b0k ★★
()
Ответ на: комментарий от anonymous

>Зачем ставить доп. ПО, если можно поступить проще?
>Just use a Cisco ASA


конечно-же, лучше прикупить циску чем man iptables осилить...

k0l0b0k ★★
()
Ответ на: комментарий от leave

>а еще бывает забавно -j DROP по /24 московских ISP вешать :) а то, как я на своем опыте узнал, абузы им писать все равно бесполезно.

+100 с Корбины столько тварей ползет вечно...

k0l0b0k ★★
()
Ответ на: комментарий от anonymous

а как же "крутые русские хакеры с балалайками, медведями и водкой"? или своих не трогают? ;)

k0l0b0k ★★
()

Как показывает практика, смена порта с 22 на что-то более 1024 решает проблему скана если не полностью, то процентов на 90. В связке с хорошим паролем и возможностью входа только нескольким юзерам получим 99,9% =)

one_quaker
()
Ответ на: комментарий от leave

Нет. Циске себя рекламировать не нужно. И для домашнего пользователя с парочкой компов оно и не нужно. Там нет больших объёмов трафика и, например, скан уязвимых скриптов, который реально кушает трафик (страницу 404 всё-таки отдать нужно) не сильно беспокоит.

А вот дата-центр без неё как-то вельми уныло выглядит... Админы чёт какие-то нервные... =))) Например, VPN поднимать на ней проще пареной репы... Да много чего в ней есть. Возвращаясь к предмету разговора, могу заметить что "активная защита" строится с её использованием куда как успешнее, чем на отдельностоящей машине общего назначения.

С другой стороны, в ней (пиксе или более новой асе) много вкусного и полезного. Рекламировать не буду.

anonymous
()
Ответ на: комментарий от anonymous

>Например, VPN поднимать на ней проще пареной репы

А на обычном сервачке VPN просто нереальная задача для админа.

>чем на отдельностоящей машине общего назначения.

Так и представил себе дата-центр нищебродский, где стоит один сервер со всеми сервисами, включая базы, апачи, файрволы, днс и т.д.

Mr_Alone ★★★★★
()
Ответ на: комментарий от leave

> у меня хостинговые сервера брутят в среднем с 5-8 хостов в сутки.

Ээээ... Мы не хостеры. =) Хотя в вебе кое-какие интересы имеем. У нас несколько иные задачи. =)

Кстати, там, где есть апач (веб), там интереснее строить защиту от скана уязвимых скриптов. Траф кушается. Как ни крути, а на 404 страничку-то отдать надо... По идее, не много, но неприятно. Не экономично, если угодно.

> ага, часа через 2-3 :)

Ну, бывает и по-боле... Главное, чтоб ушёл. 100%-й защиты здесь не было, нет и не будет. И, к тому же, "скан" как таковой, является предупреждением. В случае, если работает скрипткидди. Т.е., одиночка. "Отсюда ждать неприятностей". В случае группы с метасплоитом, нессусом и прочими пирогами, то это предупреждение другого рода -- "слушай, тут тобой интересуются"...

Рискну заметить что MARS ещё хорошая штука. Но это уже "тяжёлая артиллерия". За то собирается единая картинка в пол-пинка. Хотя, кому-то будут милее самописные приблуды...

> а то, как я на своем опыте узнал, абузы им писать все равно бесполезно.

Абсолютно бесполезно. И складывается впечатление, что то прыщавое уё... эээ... "чудовище", которому родители подарили комп, первым делом решило поставить себе "хацкерских программ" и захватить свет... Да... Здесь всё действительно "весело".

Вот подождите -- когда до реальной глубинки доберётся "высокоростной Интернет", вот тогда проблем хапнем. К московским и питерским ещё и туча других прибавится. А в условиях нашего законодательства не удивительно что у ментов по 12К преступлений в год в сфере IT и они ни фига не могут сделать. И хотят, да не могут.

anonymous
()
Ответ на: комментарий от Mr_Alone

> А на обычном сервачке VPN просто нереальная задача для админа.

Сижу и тоскливо представляю себе обычного админа, колупающего обычный сервер и настраивающего VPN. Проще поднять специализированное решение для специализированных задач. Нет на него денег?

Ну, по всей видимости, занимаетесь не тем, если денег на нормальное оборудование нет. Или админы -- колхоз, которые ни чего не видели. И не знают (и знать не хотят).

> Так и представил себе дата-центр нищебродский, где стоит один сервер со всеми сервисами, включая базы, апачи, файрволы, днс и т.д.

Ну, глупость каждого на совести этого самого "каждого" пусть и остаётся. За то я хорошо представляю что на той же пиксе окромя задач фильтрации и протоколирования трафика больше нет вообще ни чего. А! Правда, там ещё ASDM крутится. Но это так... Крем на пирожке.

anonymous
()
Ответ на: комментарий от voodix

> Я как-то сделал так: каждые 5 минут сканировал лог неудачных соединений, и если их набиралось больше скажем 100 - этот айпишник автоматически блокировался на сутки в iptables. Немного подробности реализации: при генерации запрещающего правила создавался файл с командой удаляющей правило. Если время создания файла старше суток - выполнить этот файл и затем удалить за ненадобностью.

Возможно способ несколько извращенный, но до сих пор работающий... PS наблюдал случаи когда за время 5-и минутного "окна" набирал несколько тысяч попыток соединения.

Я когда-то то же примерно так делал. Только в логе неудачных соединений отлавливал поменьше попыток. Чтоб быстрее блокировать. Полоса пропускания канала -- она не резиновая. И любое соединение, даже неудачное, сколько-то да скушает.

anonymous
()

port knocking - весьма интересно.

px ★★★
()

Не плохие советы, хоть и известные уже)

melmus
()
Ответ на: комментарий от xydo

и вообще, где known_hosts? описание различных способов аутентификации?
статье незачет!

xydo ★★
()

> Для того, чтобы доступ в систему через SSH был разрешен только >пользователям root, vivek и jerry, добавьте в файл sshd_config >следующую запись:
>AllowUsers root vivek jerry

с каких это пор root по ssh заходит и это считается безопасным?

x97Rang ★★★
()

А если на сервере аутентификация по ключу бот тоже будет пытаться его подбирать?

feanor ★★★
()
Ответ на: комментарий от anonymous

>Сижу и тоскливо представляю себе обычного админа, колупающего обычный сервер и настраивающего VPN. Проще поднять специализированное решение для специализированных задач.

Сижу и представляю себе админа, который не может поднять VPN на сервере, но знающего Cisco. А еще представляю себе этого админа, которому покупают железки под его возможности. Типа Juniper я не знаю, Cisco хочу. Притом с каких времен VPN уже непосилен стандартному админу? По моему "проще пареной репы". :-)

>За то я хорошо представляю что на той же пиксе окромя задач фильтрации и протоколирования трафика больше нет вообще ни чего.

И чо? К чему это?

Mr_Alone ★★★★★
()
Ответ на: комментарий от xydo

Очепятка в оригинале! Виноват, не доглядел. Нужно, наверное ~/.ssh/authorized_keys or ~/.ssh/authorized_keys2

RoNiA
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.