The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Анализ активности атакующих, связанной с подбором паролей по SSH"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Анализ активности атакующих, связанной с подбором паролей по SSH"  +1 +/
Сообщение от opennews (??), 05-Сен-20, 08:43 
Опубликованы результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53663

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 05-Сен-20, 08:43   +11 +/
>ssh
>пароль
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

2. Сообщение от Dimitriy Reznitskiyemail (?), 05-Сен-20, 08:44   +/
Да итижи пассатижи
[rezdm@c3po ~]$ sudo cat /var/log/secure | grep "password check failed" | less | wc -l
22532

Лог начинается с 3:30 утра где-то, сейчас 7:40.

fail2ban установлен.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #38, #44, #117

3. Сообщение от Аноним (3), 05-Сен-20, 08:50   +22 +/
Вы лучше скажите самые безопасные логин и пароль которые не перебирали ни разу. Я себе их поставлю.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #8, #15, #19, #112, #139

4. Сообщение от Терпила (?), 05-Сен-20, 08:59   –3 +/
Такая же ситуевина была неделю назад, заметил по чистой случайности на следующий день после пролома. Перелил с нуля, теперь наружу только впн и смотрит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Дима (??), 05-Сен-20, 09:06   +1 +/
Закрывайте глаза и вслепую бацайте по клавиатуре, так что бы символов двадцать минимум. Будет вам вполне надежный пароль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14, #65

6. Сообщение от timur.davletshinemail (ok), 05-Сен-20, 09:07   +/
Откажись от паролей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #118

7. Сообщение от timur.davletshinemail (ok), 05-Сен-20, 09:11   +3 +/
Дураки должны страдать, остальным стоит волноваться не об этом. А, например, об абьюзерах инфраструктуры серверов обмена открытыми ключами PGP. Например, валидный ключ Tor Project выглядит сейчас так: http://keys.gnupg.net/pks/lookup?op=vindex&fingerprint=on&se...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

8. Сообщение от б.б. (?), 05-Сен-20, 09:12   +9 +/
я как-то вытаскивал точку с логином root и паролем 1. вроде не подобрали. начинают мудрить, перебирать всякие 123 и 123456, а до 1 никто не додумался :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #53, #71

10. Сообщение от onanim (?), 05-Сен-20, 09:48   +/
в списке нет нескольких паролей, популярных в китайских роутерах.
и это хорошо :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #140

11. Сообщение от Ковид20 (?), 05-Сен-20, 10:11   +1 +/
Опять Китай :)
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от А10email (?), 05-Сен-20, 10:15   +/
У меня на продакшене постоянно брудфорсят ssh и я могу подтвердить данные, приведенные в этой статье
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #50

13. Сообщение от d (??), 05-Сен-20, 10:24   –13 +/
А что, нынче модно везде раскидывать свои приватные ключи, что бы ходить между хостами по ssh?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #20, #21, #25, #29, #34, #76, #96

14. Сообщение от A.Stahl (ok), 05-Сен-20, 10:28   +3 +/
И как потом эту хрень запомнить? Не проще ли взять первую попавшуюся под руку книгу и выписать оттуда какое-то предложение: "Перед посадкой в людской вагон или высадкой из него личного состава установить стремянку" Всё лучше чем "sfhjkhlk^sdnfb45"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #30, #58, #113, #154

15. Сообщение от YetAnotherOnanym (ok), 05-Сен-20, 10:31   +/
Очень хороший пароль получается из говядины с бобами:
beef+fabaceae=‭4206595485‬
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

16. Сообщение от Аноним (19), 05-Сен-20, 10:32   +4 +/
Так они их и так знают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #114

18. Сообщение от timur.davletshinemail (ok), 05-Сен-20, 10:34   +1 +/
Да его и не на продакшене брутфорсят постоянно. В день несколько попыток долбиться на SSH/VPN домашний роутер регулярно получает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #27

19. Сообщение от Аноним (19), 05-Сен-20, 10:51   +2 +/
Лучше несколько простых слов с парой спецсимволов, чем 6-8 кракозябр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #152

20. Сообщение от Аноним (20), 05-Сен-20, 11:10   +2 +/
ssh -A попробуй
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

21. Сообщение от Michael Shigorinemail (ok), 05-Сен-20, 11:12   +3 +/
В смысле раскидывать?  ssh-agent(1), ssh-add(1), ssh -A в школе не проходили?  Ну спасибо Рейману скажите...

PS: раз уж никто не упомянул -- 22/tcp тоже полезно куда-нить сдвинуть, хоть это и не панацея.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22, #57, #135, #137

22. Сообщение от Аноним (22), 05-Сен-20, 11:43   +7 +/
Толку от этого мало. Я всегда свои личные SSH вешаю на разные нестандартные порты - всё равно с завидной регулярностью появляются в auth.log записи от мамкиных хацкеров. Но да, хотя бы не десятки тысяч попыток в день. Строго на 22-ой порт ломятся, видимо, самые тупые скрипт-киддисы.

Правда, я не могу сказать, что те, кто ломятся на нестандартные порты шибко умнее. :) По крайней мере, они не удосуживаются посмотреть, что "Authentications that can continue: publickey" и переводят своё время на попытки брута.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #26, #54, #74

23. Сообщение от Козлетто (?), 05-Сен-20, 11:59   –7 +/
Самое лучше решение, совсем не использовать ssh. И сами себе скажите: Зачем он вам нужен?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #59

24. Сообщение от flkghdfgklh (?), 05-Сен-20, 12:08   +1 +/
Все идеи менять порт это просто засовывание головы в песок. В пространстве IPv4 найти порт ssh на всех адресах доступных в данный момент дело на несколько минут(почитайте про zmap, что ли).

А вот переход ssh на IPv6-only и использование не :1 из своей подсети, а рандомного адреса из /64 выданного на виртуалку тебе хостером полностью очищает auth.log от левых попыток. Шансов что в IPv6 кто-то найдет на каком именно адресе у тебя слушает ssh практически нет. Ну и да, использование паролей тоже дурная идея, ключ и только он, в том числе ради собственного удобства.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #41, #77

25. Сообщение от flkghdfgklh (?), 05-Сен-20, 12:09   +1 +/
ForwardAgent yes в ~/.ssh/config? Не? Не слышал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

26. Сообщение от flkghdfgklh (?), 05-Сен-20, 12:11   +6 +/
Еще лет 10 назад поанализировав логи при использовании нестандартных портов понял, что смысла нет перевешивать, только себе задачу усложнять прописывая их в ~/.ssh/config для хостов
Ниже уже писал, что все проблемы с загаживанием логов неудачными попытками на 100% решает перевод ssh на IPv6-only на отдельном адресе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #36, #43

27. Сообщение от flkghdfgklh (?), 05-Сен-20, 12:12   +4 +/
Дык какая боту разница «продакшен» или дом? IPv4 он и в Африке IPv4, если на нем висит ssh, то рано или поздно его боты найдут и начнутся долбиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

28. Сообщение от roman (??), 05-Сен-20, 12:25   +5 +/
Vnc/rdp наше все, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #45

29. Сообщение от Аноним (29), 05-Сен-20, 12:38   +/
Так же модно, как не понимать разницу между "чтобы" и "что бы".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

30. Сообщение от Аноним (29), 05-Сен-20, 12:45   +2 +/
Завести себе приложение управления паролями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #75

34. Сообщение от OpenEcho (?), 05-Сен-20, 13:01   +/
man sshd_config => /TrustedUserCAKeys

И после этого вам не нужны ни пароли и не приватные ключи вместе с authorized_keys, а также без подключения к удаленным хостам выдавать доступ

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

35. Сообщение от OpenEcho (?), 05-Сен-20, 13:08   +3 +/
Думаю в Shodan громко смеются т.к. с их ипишников все же идет скан и по IPv6 ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #61

36. Сообщение от Аноним (36), 05-Сен-20, 13:21   +5 +/
А я всё же наблюдал эффективность переноса ssh на другой порт. Бот проверяет открыт ли порт - порт оказывается закрыт, бот проходит мимо.
А конфиг поправить это дело двух секунд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #51, #130

37. Сообщение от Ilya Indigo (ok), 05-Сен-20, 13:30   –2 +/
> Всего было зафиксировано обращение с 27448 уникальных IP-адресов/

А можно где-нибудь опубликован список, желательно в sshguard формате?
..............................
1599248863|100|4|171.239.253.26
1599254644|100|4|92.11.249.50
1599286308|100|4|108.176.197.136
..............................
Добавил бы сразу на все сервера.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #116

38. Сообщение от InuYasha (??), 05-Сен-20, 13:31   +1 +/
Та же фигня. Гистограмму (число запросов на IP) смотрю вот так:
tail -n скольконадо /var/log/secure | grep "Failed password for" | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c | sort -r | less
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

39. Сообщение от Аноним (39), 05-Сен-20, 13:38   –1 +/
1599286911|100|4|127.0.0.1
1599291488|100|4|192.168.0.1
1599294242|100|4|192.168.1.1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

40. Сообщение от Аноним (40), 05-Сен-20, 13:39   +5 +/
Блин, какие все нежные, как боятся, что нехорошие боты начнут к их серверам пароли перебирать...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

41. Сообщение от Аноним (36), 05-Сен-20, 13:40   +1 +/
Чекер на каком порту висит ssh это уже совсем другой скрипт и время затраты. Плюс то что порт был изменен повышает шансы что ssh работает через ключи, или использует сильный пароль раз о нём позаботились.
Меняя порт ssh ты так же облегчаешь работу злоумышленнику - он просто пройдёт мимо и не будет тратить время.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #62

42. Сообщение от Аноним (36), 05-Сен-20, 13:43   +1 +/
Кто-то просто чистюля и любит порядок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #47

43. Сообщение от Аноним (36), 05-Сен-20, 13:45   –1 +/
Ну и какого хрена тогда хостинг провайдеры все порты меняют поголовно? Они прям так и пишут - снижает нагрузку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #64

44. Сообщение от Аноним (44), 05-Сен-20, 13:47   +8 +/
> sudo cat /var/log/secure | grep "password check failed" | less | wc -l

Ну ладно cat бесполезный, но зам тут ещё и less?

sudo grep -c "password check failed" /var/log/secure

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #103

45. Сообщение от Аноним84701 (ok), 05-Сен-20, 13:58   +2 +/
> Vnc/rdp наше все, да?

Зачем это смузихлебство, если есть проверенные временем (и поколениями пользователей) rlogin/rsh и telnet? o_O

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #105

47. Сообщение от Аноним (47), 05-Сен-20, 14:10   +/
Ну кто-то молодец потому как понимает, что кто-то перебирает ключи, а вот в реальности тоже пока вас нет и к вам в квартиру кто-то ключи подбирает вы получите уведомление от соседей или с камеры скажите мамкины жулики? Все это преступные действия и анонимность в интернетах тут мешает ловить этих людей а по факту это попытки взлома и добычи информации* Уверен что дальше их конечно придумают как искать и штртафовать но сегодня эпоха цифрового дикарства
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #52

48. Сообщение от Атон (?), 05-Сен-20, 14:12   +11 +/
> в десятку лидеров также вошёл пароль "J5cmmu=Kyf0-br8CsW"

это мой пароль, только я забыл от какого хоста. вот приходится на всех пробовать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

49. Сообщение от Анонимemail (49), 05-Сен-20, 14:32   +/
А что насчет port knocker? Уже не актуально?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

50. Сообщение от Аноним (50), 05-Сен-20, 15:05   +2 +/
у меня не получается подтвердить, на роутере все стандартные порты в хонейпот, ссш порт хрен знает где, для того чтобы до него достучаться нужен port knocking из нескольких стадий, переборы портов с дикими даунтаймами, ну и еще по мелочи...
увы, никаких связок логин пароль просто не имею, правда есть одна проблемка, несколько тысяч постоянно сидящих в бане адресов...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #106, #119

51. Сообщение от Аноним (22), 05-Сен-20, 15:13   +/
Ну, только самые тупые скрипт кидди ломятся только на дефолтный порт. Те, кто поумнее, либо пробуют разные порты, либо вообще перед брутом nmap'ом ищут SSH-серверы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #60, #81

52. Сообщение от Ordu (ok), 05-Сен-20, 15:19   –1 +/
> к вам в квартиру кто-то ключи подбирает вы получите уведомление от соседей или с камеры скажите мамкины жулики? Все это преступные действия

Я не знаток УК, но что-то мне подсказывает, что попытка открыть чужой замок не наказуема. Успешная попытка может быть наказуема, и то стоило бы проверить, есть ли в этом состав преступления.

> по факту это попытки взлома и добычи информации

Это уже не факты, это предположения о мотивах двигающих тем, кто запустил брутфорс. Реально в суде тебе придётся ещё попыхтеть, доказывая, что мотивом был незаконный доступ к информации. Вот приведёшь ты его в суд, а он скажет суду, что забыл пароль к своей vps, а долбился на чужую, потому что адрес попутал. И доказывай после этого, что на самом деле он намеренно пытался влезть на чужую, чтобы туда майнер поставить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #69

53. Сообщение от topin89email (ok), 05-Сен-20, 15:39   +1 +/
Эх да, мудрить любят.
Вспоминаю, как один один знакомый просил перебрать пароль от какого-то архива с ценной хренью для Volkswagen. Я думал, что это нереально, пароль наверняка символов двадцать со всеми доступными символами. Друг думал, продавец идиот и пароль будет чисто цифровой и короткий.

Друг был прав, там было семь цифр. Минут двадцать в Advanced RAR password recovery хватило.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

54. Сообщение от Аноним (54), 05-Сен-20, 15:50   +4 +/
>Строго на 22-ой порт ломятся, видимо, самые тупые скрипт-киддисы.

С чего ты взял, что они тупые? Их задача -- поиметь как можно больше хостов, а не поиметь именно твой лично хост. Если ты перевесил ssh на другой порт, то на тебя просто не стоит тратить время.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #73

55. Сообщение от Аноним (55), 05-Сен-20, 16:03   +1 +/
От приступов паранойи лучше пить таблетки, настройка fail2ban помогает лишь на какое-то, не слишком продолжительное, время...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #132

56. Сообщение от Корец (?), 05-Сен-20, 16:18   –1 +/
А могут ли перебрать ключ? (Не пароль, а именно ключ)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #134, #157

57. Сообщение от Odalist (?), 05-Сен-20, 16:18   +2 +/
Шигорян, я смотрю - вы не очень глубоко прониклись философией юникс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

58. Сообщение от topin89email (ok), 05-Сен-20, 16:21   –1 +/
Да это тоже неплохой вариант. Или реально четыре радномных слова, типа "Correct Horse Battery Staple", которые, как верно подметил xkcd, легко запомнить (до сих пор ведь помню) и сложно перебирать. https://xkcd.ru/936/

Если очень хочется чистого рандома, запоминаешь два пароля и создаёшь третий методом одноразовых блокнотов (шифром Вернема). Воспроизвести без софта сложно, но вполне реально.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

59. Сообщение от topin89email (ok), 05-Сен-20, 16:26   +/
А чем тогда? Mosh конечно неплох, но клиентов маловато
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #168

60. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:26   –1 +/
Да зачем nmap'ом? Для таких вещей есть zmap, который позволяет по конкретному порту хоть весь диапазон IPv4 просканить за несколько часов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #72

61. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:29   +2 +/
Слушай, ну вот у меня домашний провайдер выдает /56, то есть 4722366482869646000000 адресов. Ты там как быстро что-то насканируешь?
Практика перехода для ssh на IPv6-only показывает, что в auth.log за несколько лет не появлялось попыток ботов постучать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #98

62. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:30   –1 +/
> Плюс то что порт был изменен повышает шансы что ssh работает через ключи

Понижает. Потому что порт обычно меняют мамкины хацкеры прочитав об этом в каком-нибудь бложике, а ключи для вас слишком сложны уже

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #80

63. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:31   +3 +/
Тебе нужно перебрать не ключ, а пару ключей. Ну можно, наверное. Думаю за три-четыре возраста Вселенной справишься :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #87

64. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:33   –1 +/
Какие хостинг-провайдеры меняют? Что ты несешь вообще?
Про смену порта для ssh в бложиках и на форумах пишут мамкины хацкеры
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #78, #82

65. Сообщение от Аноним (65), 05-Сен-20, 16:34   +1 +/
В слепую печатаются только самые популярные буквы. А рандомные цифры у меня иногда даже совпадали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

66. Сообщение от suffix (ok), 05-Сен-20, 16:58   +2 +/
Авторизация по ключу и всё-равно ломятся пароль подбирать :(

За две недели:


fail2ban-client status sshd                                   Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     12823
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 172
   |- Total banned:     1050

Ответить | Правка | Наверх | Cообщить модератору

67. Сообщение от z (??), 05-Сен-20, 16:59   +/
Очень помогает fwknop.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

68. Сообщение от Аноним (68), 05-Сен-20, 17:00   –1 +/
Помогите подобрать пароль для выхода из детского режима тв приставки. 4 символа.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84, #91, #101, #160

69. Сообщение от Lex (??), 05-Сен-20, 17:01   +2 +/
«Попытка» - это иными словами  «покушение на [название действие]».

В случае с замком жилища - покушение на:
незаконное проникновение ( 139 ук ),
кражу (ч.3 ст.158 ук ),
разбой/грабеж (162/161 ук ) если преступники считали, что кто-то был дома.


Но зависит от множества обстоятельств, а то подобным образом можно и чужой карман с кошельком «случайно» со своим перепутать..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

70. Сообщение от olanemail (?), 05-Сен-20, 17:07   +4 +/
Ну как вспомнишь, напиши
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

71. Сообщение от Аноним (65), 05-Сен-20, 17:08   –3 +/
У меня на локалхосте пароль 3. Убунта позволяла создать при установке. Но теперь, если поменять, то уже passwd не даст такой простой создать. Разве что его пропатчить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #86, #121

72. Сообщение от Аноним (22), 05-Сен-20, 17:18   +1 +/
nmap'ом можно по всем 65535 портам пройтись
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #85, #102

73. Сообщение от Аноним (22), 05-Сен-20, 17:19   +/
То, что ты перевесил ssh на другой порт - не гарантия того, что ты не отключил парольную аутентификацию ;) Так что можно было бы поиметь ещё больше хостов, сканя все порты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #88, #115

74. Сообщение от Аноним (74), 05-Сен-20, 17:32   +5 +/
А как насчёт использовать port-knocking?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #79

75. Сообщение от Аноним (74), 05-Сен-20, 17:35   +5 +/
В облаках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #104

76. Сообщение от totp (?), 05-Сен-20, 17:39   +/
Модно использовать пароль+TOTP(RFC 6238) и сначала нужно спрашивать totp а потом пароль.
SSH ключи нинужны твердо и четко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

77. Сообщение от edo (ok), 05-Сен-20, 17:42   +3 +/
> А вот переход ssh на IPv6-only

… добавит кучу проблем. У меня резервный оператор дома не предлагает ipv6, сотовый оператор не предлагает, в офисе никакого ipv6, и т.д., и т.п.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

78. Сообщение от Аноним (81), 05-Сен-20, 17:44   +/
Те провайдеры на которых домохозяйки хостят, я не про VPS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

79. Сообщение от Аноним (22), 05-Сен-20, 17:48   +1 +/
Security by obscurity. Лишний геморрой, а по факту - сильно безопасность не повышает. Намного лучше и проще поставить авторизацию по ключу, полностью отключить парольную авторизацию и держать SSH открытым. И уже не болит голова насчёт брутфорсеров. Если кто-то захочет брутить - на здоровье).

А парольная аутентификация + port knocking это такая же несекурная парольная авторизация, просто хитро прикрытая фаерволом и вундервафлей, открывающей порт. Да и демоны для port knocking, в отличие от самого sshd не проходят аудит безопасности, а мне его надо крутить от рута, чтобы он мог пинать iptables :). А ещё на другой стороне нужен клиент, который будет пинать порты в нужном порядке.

В общем, не так уж сложно - сделать пару ключей для авторизации. И конфигурится легко и быстро, в отличие от боли со всякими fail2ban и port knocker'ами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #83, #99, #111

80. Сообщение от Аноним (81), 05-Сен-20, 17:48   +3 +/
В ключи тоже умеем, бложики для мамкиных кулхацкеров советует и ключики тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

81. Сообщение от Аноним (81), 05-Сен-20, 17:52   +3 +/
И вот этих тупых киддисов процентов 50%, в современном инете до сих пор и виагрой спамят если что. Очень даже динозавры водятся. Поэтому порт лучше всё-таки поменять, меньше срача в логи да и боты быстрее отставать будут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #95

82. Сообщение от Michael Shigorinemail (ok), 05-Сен-20, 17:56   +/
> Про смену порта для ssh в бложиках и на форумах пишут мамкины хацкеры

А про ключи -- так вообще барбершопщики? :)

Ну головой-то подумать попробуйте, явно же есть, когда по техчасти пишете.  Включите "атакующего" и подумайте.

Порт _входит_ в пространство поиска, если узкий диапазон адресов/портов не известен заранее.  И да, ни разу не панацея, но всё-таки снижение интенсивности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #110

83. Сообщение от Michael Shigorinemail (ok), 05-Сен-20, 17:58   +/
> Да и демоны для port knocking, в отличие от самого sshd
> не проходят аудит безопасности

zeroflux'овский читали вроде, но зуб не дам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

84. Сообщение от Michael Shigorinemail (ok), 05-Сен-20, 18:05   +/
> Помогите подобрать пароль для выхода из детского режима тв приставки.
> 4 символа.

Начните с 0000.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

85. Сообщение от flkghdfgklh (?), 05-Сен-20, 18:05   +/
Сколько у тебя времени займет пройтись nmap'ом по всем портам хотя бы /24?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #94

86. Сообщение от Аноним (3), 05-Сен-20, 18:34   +/
Столкнулся с такой же ситуацией в Linux Mint Вот баг https://github.com/linuxmint/cinnamon/issues/9291
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #92

87. Сообщение от Корец (?), 05-Сен-20, 18:51   –1 +/
Не мне нужно. Я просто когда в гугле этот вопрос задаю, то гугл толком ничего не отвечает. Поэтому решил спросить тут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

88. Сообщение от Аноним (54), 05-Сен-20, 18:56   +3 +/
>То, что ты перевесил ssh на другой порт - не гарантия того, что ты не отключил парольную аутентификацию ;)

Нет, но тот факт, что ты перевесил ssh, как минимум означает что у тебя не дефолтный конфиг.

>Так что можно было бы поиметь ещё больше хостов, сканя все порты.

Вопрос трудозатрат.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

89. Сообщение от Аноним (89), 05-Сен-20, 19:10   +/
fail2ban это отвратительно, лучше без питона sshguard.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #90, #93, #124

90. Сообщение от Аноним (89), 05-Сен-20, 19:17   +/
Хотя на верхнем уровне у меня вход по белому списку, sshguard не помешает от вылета fw.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

91. Сообщение от Аноним (44), 05-Сен-20, 19:19   +2 +/
> 4 символа.

По вертикали или по горизонтали?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #122

92. Сообщение от Аноним (65), 05-Сен-20, 19:31   +/
Ответный комментарий там забавный. Если бы они заботились о безопасности, то не разрешали бы создавать простой пароль уже при установке. К счастью, это не так.
passwd позволит задать 123, а вот 1 уже нет.
По моему, в SUSE можно любой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

93. Сообщение от suffix (ok), 05-Сен-20, 19:51   +1 +/
1. fail2ban работает не только с ssh ! И с exim и с dovecot и с mod_security и т.д.

2. fail2ban 0.11 с прогрессивным баном дюже хорош!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #107, #108, #109

94. Сообщение от FixingGunsInAir (ok), 05-Сен-20, 19:55   +/
Минут 10-15. Был подобный опыт, правда я сканил удалённый объект внутри копроративной сети на предмет клиентских тачек, не заведённых в домен. Скорость доступа - 10 мегабит максимум.

А сколько можно на 100 мегабитах насканить? Ммм...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

95. Сообщение от FixingGunsInAir (ok), 05-Сен-20, 19:57   +2 +/
Тогда может fail2ban настроить? Больше толку будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #123

96. Сообщение от Odalist (?), 05-Сен-20, 19:58   +2 +/
>Логин    Пароль

Odalist Odalist - и хрен догадаешься, малолетний хакер!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

97. Сообщение от FixingGunsInAir (ok), 05-Сен-20, 20:04   +/
Огонь

А смысл такой отаки? Чисто из вредности?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #100

98. Сообщение от OpenEcho (?), 05-Сен-20, 20:06   +2 +/
> Слушай, ну вот у меня домашний провайдер выдает /56, то есть 4722366482869646000000
> адресов. Ты там как быстро что-то насканируешь?

Во первых я не думаю что кому-тo нужны домашние сетки с ССШ. (Но если кому и надо, то блоки из резидентиал ипшек регулярно обновляются провайдерами в PBL листах)

Во вторых, проведите экспырыментус, попытайтесь в выданной вам /56 сети поставить ипишник выше чем /64 (между /56 и /64) и посмотрите если вы можете куда либо выйти в сеть. Если да, то вам повезло, т.к. большинство провайдеров на самом деле в реальности не маршрутизируют выше чем /64

В третьих, если клиенты получают айпишки через ДХЦП провайдера, гляньте диапозон в каком выдаются адреса.

Может SLAAC ? Ну так там пол адреса состоит из МАС, где первые три байта это вендор из OUI

В OVH так вообще выдают /128

Хорошо спрятались?

> Практика перехода для ssh на IPv6-only показывает, что в auth.log за несколько
> лет не появлялось попыток ботов постучать

Видимо у нас разные ресурсы...


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #138

99. Сообщение от glebiao (ok), 05-Сен-20, 20:16   +2 +/
>Security by obscurity. Лишний геморрой, а по факту - сильно безопасность не повышает.

не скажи. хитрая последователность пингов для открытия портов (средствами iptables) + популярные китайские сети в списке на drop (средствами ipset) => абсолютно чистые логи. очень способствует душевному равновесию.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

100. Сообщение от timur.davletshinemail (ok), 05-Сен-20, 20:17   +/
> Огонь
> А смысл такой отаки? Чисто из вредности?

Отказ в обслуживании классический. Притом, принципиально неустранимый для уже имеющихся ключей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

101. Сообщение от СеменСеменыч777 (?), 05-Сен-20, 20:20   +1 +/
смотри порно в i2p со смартфона.
все дноклассники так делают.
а приставку ну её нафиг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

102. Сообщение от Аноним (102), 05-Сен-20, 21:21   +/
На каком из них вас отправят гулять?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

103. Сообщение от Dimitriy Reznitskiyemail (?), 05-Сен-20, 22:01   +1 +/
там второй лесс по ошибке, ибо сначала одно, потом второе через конвеер, потом треть, ипросто ctrl+w не нажалось.

А так, по-старинке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #133

104. Сообщение от ключ на 32 (?), 05-Сен-20, 22:35   +/
В приватных облаках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

105. Сообщение от ключ на 32 (?), 05-Сен-20, 22:39   –2 +/
Вот именно потому что проверенные - их никто уже и не использует. Как и md5 в passwd, как и SSL 3.0 с TLS 1.0, как и много чего еще другого "проверенного".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

106. Сообщение от Аноним (106), 05-Сен-20, 23:29   +2 +/
Ну, забаненые адреса можно через определённый тайминг вычищать из чёрного списка, например через месяц. Всё равно либо атакующий забудет о вашем существовании, либо бот перестанет существовать.

Социальная реклама: Каждый день тысячи сервисов банят IP-адреса и оставляют их навсегда в списках. Адресов каждый день становится меньше, но люди ещё быстрее уничтожают диапазон адресов, просто внося их в бан-лист. Пожалуйста, позаботьтесь о будущем интернета! Очищайте чёрные списки IP!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

107. Сообщение от Аноним (89), 06-Сен-20, 00:29   +/
Питон отвратительно! Файлы логов читает с задержкой, свапает в цикле контекст. Микролаги!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

108. Сообщение от Аноним (89), 06-Сен-20, 00:31   +2 +/
sshguard работает не только с логамм ssh, но и с exim, postfix, exim, dovecot и другим. Читай сорцы их парсера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

109. Сообщение от Аноним (89), 06-Сен-20, 00:32   +1 +/
Прогрессивный бан есть не только в fail2ban.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

110. Сообщение от пп (?), 06-Сен-20, 03:43   +/
Этого товарища за спутник бы засунуть на годик, он бы научился трафик экономить))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

111. Сообщение от n242name (?), 06-Сен-20, 04:37   –1 +/
единственный здоровый коментарий в этой ветке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

112. Сообщение от n242name (?), 06-Сен-20, 04:47   +1 +/
< /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c${1:-24};echo;
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

113. Сообщение от BrainFucker (ok), 06-Сен-20, 07:52   +/
> И как потом эту хрень запомнить? Не проще ли взять первую попавшуюся под руку книгу и выписать оттуда какое-то предложение:

Не проще, при десятках аккаунтов без записывания начинаешь забывать те что не каждый день используются.
Использую эту тулзу: https://github.com/rekcufniarb/pswrd#readme
Ничего не хранит ни на дисках, ни в облаках, не надо таскать базу между устройствами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #166

114. Сообщение от onanim (?), 06-Сен-20, 09:46   +1 +/
но почему-то не пытаются брутить мир на эти пароли.
отсюда у меня два предположения:
- или китайцы на "свои" роутеры заходят через другие бэкдоры, не через дефолтный пароль
- или с китайских диапазонов брутят не китайцы. вот это мне кажется более вероятным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

115. Сообщение от Alex (??), 06-Сен-20, 11:11   +2 +/
Если посмотреть по паролями то целевая аудитория криворукие админы.
Если у человека хватитило ума поменять ssh порт значит он как минимум понимает что ведутся атаки, значит тупой пароль он уже не поставит. Процент попадания на профана в в таких ситуациях стремится к 0.
Вот и не тратят время.

Атаки идут по дефолтным значениям.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #146

116. Сообщение от Сейд (ok), 06-Сен-20, 12:00   +1 +/
https://security.etnetera.cz/feeds/etn_aggressive.rules
https://security.etnetera.cz/feeds/etn_aggressive.txt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

117. Сообщение от mos87 (ok), 06-Сен-20, 12:14   +2 +/
> cat /var/log/secure | grep
>Да итижи пассатижи

сколько раз твердили миру...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

118. Сообщение от mos87 (ok), 06-Сен-20, 12:15   +/
и такие пассы руками делает...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

119. Сообщение от mos87 (ok), 06-Сен-20, 12:22   +/
>все стандартные порты в хонейпот, ссш порт хрен знает где, для того чтобы до него достучаться нужен port knocking из нескольких стадий, переборы портов с дикими даунтаймами, ну и еще по мелочи...

посоны тут скрипт-кидди который ваши пароли брутфорсит

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

120. Сообщение от Аноним (120), 06-Сен-20, 12:30   +/
В строке root без пароля это уже взломанные хосты со своим ключом?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #125, #142

121. Сообщение от w0sian (?), 06-Сен-20, 12:32   +/
perl -e 'print crypt("3", "aa")'
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

122. Сообщение от mos87 (ok), 06-Сен-20, 12:37   +1 +/
А пальцы как ставить - вертикально или горизонтально? Если даже вертикально, то у Кузьмича толще будут. (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

123. Сообщение от Всем Анонимам Аноним (?), 06-Сен-20, 13:46   +1 +/
Сканы идут с тысяч адресов. Конечно, бан поможет немного, но не панацея. Они не пробуют с того же IP сразу же.
Я вижу похожую картину со сканами POP3 и SMTP AUTH. Помогает только постоянная блокировка этих IP. В fail2ban в этом плане опасно постоянно блокировать что-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

124. Сообщение от flkghdfgklh (?), 06-Сен-20, 14:07   +/
Есть какие-то причины, помимо религиозных, по которым бы стоило променять работающий у меня 15 лет fail2ban который я прекрасно знаю на sshguard? Какие-то фичи которые могли бы заинтересовать? Если что у меня fail2ban используется не только для логов ssh'а, но, к примеру, для логов nginx'а для бана особо буйных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #126

125. Сообщение от Аноним (127), 06-Сен-20, 14:17   +1 +/
Honeypot и misconfiguration
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #145

126. Сообщение от Сейд (ok), 06-Сен-20, 14:30   +1 +/
Я предпочитаю Suricata главным образом из-за её интеграции с панелями управления.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #127, #128

127. Сообщение от Аноним (127), 06-Сен-20, 14:55   +/
osquery тоже что-то умеет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

128. Сообщение от Аноним (127), 06-Сен-20, 14:57   +/
ossec?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #147

130. Сообщение от sabitov (ok), 06-Сен-20, 17:28   +/
Господа соучастники, а что мешает прописать в sshd_config опцию AllowUsers? И если имена юзеров хоть чуть-чуть отличаются от admin|root|manager, то и пусть оно брутфорсит...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #131

131. Сообщение от Michael Shigorinemail (ok), 06-Сен-20, 17:54   +/
> Господа соучастники, а что мешает прописать в sshd_config опцию AllowUsers?

Лень -- это лазить на каждого такого пользователя в sshd_config, нигде не промахнуться, не забыть service sshd reload...

А вот для AllowGroups в альте "домашняя заготовка есть": http://git.altlinux.org/gears/o/openssh.git?p=openssh.git;a=...

Как, собственно, и для sshd-password-auth; так что достаточно сделать один раз:

control sshd-allow-groups enabled
control sshd-password-auth disabled
service sshd reload
...и для нужных пользователей выполнять gpasswd -a $LOGIN users (ну или какую укажешь в sshd_config).

А при желании зафиксировать такое поведение во вновь создаваемых образах -- например, шаблонах контейнеров -- можно в mkimage-profiles сказать:

    @$(call add,CONTROL,sshd-allow-groups:enabled)
    @$(call add,CONTROL,sshd-password-auth:disabled)
...и добавить в зависимости такой цели use/control (или сразу use/control/server/ldv).

Если понравилось -- см. тж. http://altlinux.org/control и http://altlinux.org/m-p ;-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

132. Сообщение от Аноним (-), 06-Сен-20, 17:56   +/
погодите таблетки, socat на сервере с поднятием одноразового ssh на свободный порт и на клиенте для перенаправления на нужный порт - первое что пришло в голову
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

133. Сообщение от Michael Shigorinemail (ok), 06-Сен-20, 17:58   –1 +/
> просто ctrl+w не нажалось

Раз уж за readline: относительно недавно ввёл в быт Alt-. (история по последнему аргументу) и Alt-d (удалить слово вправо, с Alt-b/Alt-f хорошо сочетается обычно).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

134. Сообщение от Аноним (44), 06-Сен-20, 18:53   +1 +/
В ключе в среднем 2048 бит (256 произвольных байт), в пароле в среднем 10 байт из подмножества печатаемых символов ASCII. Вот и считай. Если не в курсе, зависимость времени перебора от длины — экспоненциальная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

135. Сообщение от d (??), 06-Сен-20, 21:08   +/
И что -A? Ключ-то где хранить, если гонять трафик между серверами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

137. Сообщение от n00by (ok), 07-Сен-20, 12:39   +/
> в школе не проходили?  
> Ну спасибо Рейману скажите...

Сказали...

— Офсайт взломан! Вместо него казино вулкан 🤣. Ни с винды, ни с линукса, ни один браузер не пускает. Стоит хорошо подумать прежде чем ставить ПО от НТЦРОСА.
— Кто-то же должен спонсировать разработку. Что проще, как не вулкан порекламить чутка🤣🤣🤣
https://vk.com/wall-33847957_316831

— Здравствуйте у меня вопрос, а что стало с сайтом Росы? перебрасывает на какой то левый сайт
— боты взломали
https://vk.com/wall-33847957_316821

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

138. Сообщение от Аноним (138), 07-Сен-20, 12:46   +/
> Во первых я не думаю что кому-тo нужны домашние сетки с ССШ.

Взлом домашних роутеров, других домашних IoT устройств и построение на их основе ботнета — это же одна из классических целей скана ssh.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #141, #153

139. Сообщение от пох. (?), 07-Сен-20, 15:05   +/
Ну, похоже мой test 12345 неуязвим!
(странно, почему они думают, что такой пароль бывает только у рута? Он, конечно, такой и есть, ведь очень удобно когда модная-современная почти уже готовая для десктопа система предлагает "поставить такой же", одной галочкой, но, вроде бы, удаленный логин рутом нынче несколько затруднен?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

140. Сообщение от пох. (?), 07-Сен-20, 15:09   +1 +/
Ну, и? Чего темнить-то, назвал бы какие. А то те кто не в теме, теперь же ж спать не будут, пытаясь угадать - там root:12345 или все же test:test ?

P.S. кстати, странно что нет odroid в списках.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #148

141. Сообщение от пох. (?), 07-Сен-20, 15:12   +1 +/
а вот такой ботнет в v6 нафиг никому, действительно, не нужен. Потому что поддосить или поспамить с него можно только точно такие же шибкоумные холодильники.

Поэтому неуловимый джо пока что неуловим.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

142. Сообщение от пох. (?), 07-Сен-20, 15:14   –1 +/
тоже непонятно, что это за фигня. С пустым паролем авторизация ж невозможна? Или боты об этом не знают? (это ж _подбираемые_, а не успешно подобранные)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #143

143. Сообщение от Аноним (127), 07-Сен-20, 15:43   +/
PermitEmptyPasswords yes
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142 Ответы: #144

144. Сообщение от пох. (?), 07-Сен-20, 15:57   +2 +/
Ура, теперь мне вообще не надо набирать пароль!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #150

145. Сообщение от пох. (?), 07-Сен-20, 16:47   +/
или таки находятся индивидуумы, достаточно продвинутые чтобы на самом деле разрешить рутовую (!) впрочем, это за них, помнится, делала rh, авторизацию без пароля вообще.

Я поражаюсь изобретательности этих людей!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

146. Сообщение от Аноним (146), 07-Сен-20, 18:05   +/
Перенос на другой порт никак не повышает уровень безопасности. Кем вы там себя считаете, опытным или нет - тоже.

Уверен, что есть роботы, которые обходят наиболее часто встречаемые порты, на которых висит SSH, кроме дефолтного. 122, 222, 2222, 9022 и так далее, подставьте свой вариант.
Такие хосты даже вкуснее обычных. На 22 порту полно хостов, у которых настроены ключи и выключены пароли. Зато у сменивших порт скорее всего оставлен пароль. То есть по факту шанс сбрутить выше в пересчете на общее количество.

Серьезной защитой является доступ к SSH для белого списка IP-адресов (желательно, чтобы сервер при этом висел на IPv6). И конечно же только ключи.
Но это же целых три копейки в месяц платить надо за дополнительный сервер и с винды подключаться неудобно :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

147. Сообщение от Сейд (ok), 07-Сен-20, 21:30   +/
Osquery и OSSEC нет в репозиториях Fedora, а ещё Suricata - система не только обнаружения вторжений, но и предотвращения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #149

148. Сообщение от onanim (?), 07-Сен-20, 22:11   +/
отнюдь не 12345, а захардкоденные "инженерные" пароли. кому надо, сам найдёт :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

149. Сообщение от Аноним (149), 07-Сен-20, 23:01   +/
Чем Suricata лучше отечественных DLP-систем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #151

150. Сообщение от Аноним (149), 07-Сен-20, 23:08   +/
Тебе зачем капузёр? работать нужно! а не бить по клавиатуре как обезьяна!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #155

151. Сообщение от Сейд (ok), 08-Сен-20, 01:21   +/
Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных. Для меня Suricata лучше тем, что абсолютно бесплатна. Но именно предотвращение утечек информации в ней реализовано на базовом уровне вроде политик идентификации номеров кредитных карт и социального страхования. Суть здесь в защите от внешних атак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

152. Сообщение от n242name (?), 08-Сен-20, 01:30   –1 +/
> Лучше несколько простых слов с парой спецсимволов, чем 6-8 кракозябр.

не лучше, энтропия будет меньше чем у какого-нибудь 12-символьного рандомного пароля

только если слова будут не из общеупотребительного словоря и их будет миниум штуки 4, а не 2 как вы предлагаете...

таким образом лучше запомнить звучный, но случайный пароль

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

153. Сообщение от OpenEcho (?), 08-Сен-20, 09:10   +/
> Взлом домашних роутеров, других домашних IoT устройств и построение на их основе
> ботнета — это же одна из классических целей скана ssh.

Как много вы знаете мыльниц роутеров с работающим по умолчанию ССШ?
ИоТ тоже нет смысла голым задом светить в интернет для всех, они все в основном подключаются к родному дому сами и поэтому производителю нафиг не надо их искать, сами позвонят домой, как только наивные люди выпустят чудо в интернет

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

154. Сообщение от Брат Анон (?), 08-Сен-20, 09:35   –1 +/
Пароль, который можно запомнить -- плохой пароль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

155. Сообщение от пох. (?), 08-Сен-20, 10:04   –1 +/
> Тебе зачем капузёр? работать нужно!

вот именно! А там вместо чтоб просто дать работать - какие-то пароли-шмароли, вечно ищи эту отвалившуюся бумажку с монитора, и хрен еще ж наберешь тот бред что на ней написан (вчера, кстати, пришлось - хорошо хоть, нашел).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #159

156. Сообщение от Anonimous (?), 08-Сен-20, 15:01   +/
DynDNS и готово.
Ответить | Правка | Наверх | Cообщить модератору

157. Сообщение от Аноним (157), 08-Сен-20, 15:40   +/
основное занудство с ключами это их учётная генерация, хранение, отзыв. учесть все факты копирования ключевой информации без специального менеджмента сложно. у обычного админзащиты ключи лежали в железном сейфе, как понимаете, тоже закрытым на ключ. и когда он уходил скважина иногда поскрипывала. когда парсят пабликдату на предмет ключа, имеется контекстная связь между ключём и сервером и перебирать сами ключи не придётся. сам ключ обычно защищён паролем что несколько усложняет жизнь. но в чём-то вы правы, иногда ключ на ssh бывает слабее пароля. вообще, вместо постоянного наблюдения за ростом неудачных попыток достаточно один раз получить уведомление о успешном входе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #158

158. Сообщение от Аноним (-), 08-Сен-20, 16:06   +/
ах да, совсем необязателен правильный ключ, иногда достаточно "неправильного" в нужном месте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157

159. Сообщение от Аноним (-), 08-Сен-20, 16:24   +/
пароль легче сохранить, чем ключи, рфиды и прочие сущности. пароли всё ещё стандарт, за которым только биометрия и чипизация. доступ без учётных данных есть у всех анонимов и обычно он заканчивается на границе социальных процессов с вовлечёнными группами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #161

160. Сообщение от Аноним (-), 08-Сен-20, 17:09   +/
этот пароль, вероятно, вводят каждый день, интересное дело перехватить(ретранслировать, 2й приемник, повторить без расшифровки) ик-сигнал от пульта, более занимательно чем результат. по пульту узнать протокол. командные импульсы модулированные несущей. для RC5 "The command data is a Manchester coded bitstream modulating a 36 kHz carrier" "Сигнал пульта состоит из командных импульсов, заполненных импульсами высокой частоты (27-50(60?) кГц у разных систем)" https://metager.org/meta/meta.ger3?eingabe=перехват+ик-сигнала+от+пульта Linux infrared remote control, GNU Radio, SDR.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

161. Сообщение от пох. (?), 08-Сен-20, 23:35   –1 +/
> пароль легче сохранить

один - да. А когда их стоодин, и желательно хоть часть иметь разные - и ты уныло выдумываешь стовторой - "таак... 12345 был, qazxsw2 был, Е6ать314здецкакойнадежныйпароль не помещается в ldap schema... да ну вас нафиг, 098765 будет".
А через неделю/две/год пытаешься вспомнить - 67890? Не, не то. 456789? Да блин, что за нахрен, где листок-то?!

А вот связку ключей от квартиры ты когда прошлый раз терял?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #162, #163, #164

162. Сообщение от Аноним (-), 09-Сен-20, 11:24   +/
- один - да. А когда их стоодин
написать невзрачный листок совсем непохожий на список
- и ты уныло выдумываешь стовторой
малоформатная книжка, путеводитель по провинциальной галерее затёртого года или имитация, библия
- А вот связку ключей от квартиры ты когда прошлый раз терял?
достаточно потерять за ней контроль, уснуть, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

163. Сообщение от Аноним (163), 09-Сен-20, 11:59   +/
специальные камеры, даже смарт рядом со связкой вполне атака на обычный ключ, а электронный ключ все равно с паролем, все равно выгружается, сложность даёт возможность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

164. Сообщение от Аноним (164), 09-Сен-20, 12:20   +/
keepassx

а я сейчас думаю про rutoken. есть парочка ключей, можно сделать вход по рутокену

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #165

165. Сообщение от Аноним (-), 10-Сен-20, 11:54   +/
> keepassx

молоком из горбушки винтажнее, вместо утюга можно лазерник, так уж и быть

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164

166. Сообщение от dstwo (?), 16-Сен-20, 12:10   +/
Поздравляю, md5-хэш из адреса сайта. Никто никогда не догадается и тем более не сможет повторить...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #167

167. Сообщение от BrainFucker (ok), 16-Сен-20, 18:44   +/
> Никто никогда не догадается и тем более не сможет повторить...

Конечно, ведь хеш солёный мастер паролем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

168. Сообщение от mr.Clinemail (?), 06-Окт-20, 17:39   +/
А поверх чего он по твоему работает? ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру