| 1.1, Salvator (?), 13:05, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Кто мешает вешать ssh на не стандартный порт? После смены порта попытки подбора пароля вообще прекратились
| | |
| |
| 2.2, anonymous (??), 13:14, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> Кто мешает вешать ssh на не стандартный порт? После смены порта попытки подбора пароля вообще прекратились
Ну, это решение имени страуса, IMO.
| | |
| |
| 3.73, Alen (??), 17:00, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
и все же весьма эффективное, особенно в комплексе с другими.
видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже 2 года
никаких брутфорсов.
К недостаткам можно отнести только усложнение работы с sftp и тд, но все решается прочтением манов.
| | |
| |
| 4.76, PereresusNeVlezaetBuggy (ok), 17:11, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
 >и все же весьма эффективное, особенно в комплексе с другими.
>видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже
>2 года
>никаких брутфорсов.
>К недостаткам можно отнести только усложнение работы с sftp и тд, но
>все решается прочтением манов.
Не надо бояться попыток подбора пароля. При современных объёмах жёстких дисков экономить на логах — идиотизм. Бояться надо плохих паролей и других дыр безопасности.
| | |
| |
| 5.124, Hety (??), 21:11, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
Лучше читать логи, где нет сообщений о попытках подбора. Это здорово экономит время.
| | |
| |
| 6.127, PereresusNeVlezaetBuggy (ok), 21:15, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Лучше читать логи, где нет сообщений о попытках подбора. Это здорово экономит
>время.
Если вам так надо — фильтруйте, и всё. Средств для этого тонны: от grep до супернавороченных IDS. Мне вот такие логи помогают быть в курсе современных тенденций по выбору паролей — всегда пригодится. ;)
| | |
|
|
|
| 3.74, Alen (??), 17:01, 16/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
и все же весьма эффективное, особенно в комплексе с другими.
видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже 2 года
никаких брутфорсов.
К недостаткам можно отнести только усложнение работы с sftp и тд, но все решается прочтением манов.
| | |
|
| 2.4, ононим (?), 13:17, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
я у себя в логах ни разу не обнаружил попыток "левого" логина. единственно, что сделал, так это отсеял все запросы на 22 порт, исходящие из сетей других провайдеров.
| | |
| |
| 3.38, Димтнрий (?), 15:02, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
я давно заметил (больше месяца назад)у себя подобное и сразу ограничил доступ по ssh (hosts.allow) только с тех адресов, с которых действительно это может быть нужно
| | |
| |
| 4.211, edo (ok), 12:47, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
Вы никогда не бываете в отпуске, в комнадировке, на природе, ...?
| | |
|
|
| 2.21, Tav (?), 14:08, 16/11/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это не защита, а костыль, который возможно будет помогать до тех пор, пока мало кто так делает. Порты перебрать не трудно.
| | |
| |
| 3.27, anonymous (??), 14:19, 16/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
Для перебрать все порты на машину надо будет еще стукнуться несколько десятков тысяч раз. А потом еще перебор паролей, что IDS'ом или просто правилом в iptables отловится намного лучше. Вполне нормальное решение, особенно при том, что минусов как бы и не имеет.
| | |
| |
| 4.49, Tav (?), 16:10, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
Минусы имеет: нестандартная конфигурация. "Стукнуться несколько десятков тысяч раз" — не проблема для распределенной атаки. Если вы просто добавите к своему паролю один символ, вы более существенно увеличите защищенность своей системы, и без костылей.
| | |
| |
| 5.61, anonymous (??), 16:24, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
Нестандартная это понятно, но какие минусы это даст на практике? Если только к вам должны иметь доступ по ssh и те, кто без понятия на каком порту он у вас там висит, и кому вы особо не можете указать, куда стучаться, разве что так.
> не проблема для распределенной атаки.
Тем не менее, при ней далеко не все стучащиеся доживут до перебора паролей, что есть таки плюс.
> Если вы просто добавите к своему паролю один символ, вы более существенно увеличите защищенность своей системы, и без костылей.
Длина пароля само собой. Но перенос не общеупотребительного сервиса (не pop/smtp/www же) на нестандартный порт имхо не костыль, а вполне нормальная мера безопасности.
| | |
| |
| 6.91, Tav (?), 18:02, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Уже писал в другой ветке (#52):
Использование нестандартного порта увеличивает перебор _на_ 2^16 (немного больше 65000), добавление к паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом, если в пароле больше 2-х символов, выбор нестандартного порта не даст заметного улучшения безопасности.
И еще здесь уже было правильно сказано (#80):
Перенос порта — это чистой воды security by obscurity.
| | |
| |
| 7.94, anonymous (??), 18:36, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Перенос порта — это чистой воды security by obscurity.
> obscurity сущ. 1) а) неизвестность, безвестность; незаметность
В таком смысле — ну да. И поэтому оно неплохое добавление к сложному паролю. Сначала пусть найдут, а потом уже ломают, это не пересекающиеся методы защиты же )
| | |
| |
| |
| 9.107, qux (ok), 19:29, 16/11/2009 [^] [^^] [^^^] [ответить] | +/– | Незаметность не защита Военные с их маскировочными раскрасками, стелс-технологи... большой текст свёрнут, показать | | |
| |
| |
| 11.135, qux (ok), 21:32, 16/11/2009 [^] [^^] [^^^] [ответить] | +/– | Неосведомленность противника не сделает его удар легче Есть некоторая заметная ... большой текст свёрнут, показать | | |
| |
| |
| 13.155, qux (ok), 22:54, 16/11/2009 [^] [^^] [^^^] [ответить] | +/– | Если всё множество перекрываемых более слабым средством атак входит в множество ... большой текст свёрнут, показать | | |
| |
| |
| 15.210, qux (??), 12:46, 17/11/2009 [^] [^^] [^^^] [ответить] | +/– | Хотел спросить, хотите ли вы сказать, что тут все возможные и в будущем атаки ... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 7.171, аноним (?), 03:28, 17/11/2009 [^] [^^] [^^^] [ответить] | +/– | вы в этом так уверены а я то думал, что увеличение как-то так пойдет 128 N 1 ... большой текст свёрнут, показать | | |
|
|
|
|
|
| |
| 3.40, Димтнрий (?), 15:06, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Поддерживаю. SSH на другой порт и неожиданностей больше нет.
в данный момент может это и неплохое решение (просто потому что тупо перебирается логин и пароль), но кто знает, что будет в дальнейшем, лучше думаю все-таки разграничить доступ по этому порту только нужным компам
| | |
| 3.77, FSA (??), 17:12, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
Только поправочка. Метод хорош, если вам просто нужно закрыть вход для любопытных глаз, например как раз для целей создания ботнета. Смысл перебирать каждый порт на левых IP??? Проще найти SSH на стандартных портах. Тем более, что если порт нестандартный, то скорее всего и подобрать пароль для машины будет гораздо сложнее.
НО! Если ваш сервер/сеть представляет для кого-то интерес, то сменить порт - это ничто. Хотя как первый этап защиты пойдёт. А если ещё и закрывать порт при подозрениях сканирования портов тоже неплохо будет.
| | |
| 3.83, Андрей (??), 17:41, 16/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Поддерживаю. SSH на другой порт и неожиданностей больше нет.
согласен. ибо на перебор портов уже защита сработает.
| | |
| |
| 4.110, Аноним (-), 20:15, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> согласен. ибо на перебор портов уже защита сработает.
А если перебор распределенный, тоже сработает? От распределенного брутфорса вон не срабатывает. :)
| | |
| 4.112, Warhead Wardick (?), 20:18, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
Дуууууу ... На перебор паролей значит не сработает, а на перебор портов - таки да? Да ви таки сказочник :)
| | |
|
|
|
| 1.3, Аноним (-), 13:17, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие логины типа test? Перевешивать на левый порт SSH не буду, пусть мучаются подбирают, использую ключи вместо паролей )
| | |
| |
| 2.63, ьтл (?), 16:32, 16/11/2009 [^] [^^] [^^^] [ответить] | +/– | а почему думаете нет есть кривые настройки ssh в которых возможно разрешение ко... большой текст свёрнут, показать | | |
| |
| 3.84, Андрей (??), 17:43, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие
>>логины типа test?
>
>а почему думаете нет? есть кривые настройки ssh в которых возможно разрешение
>конектить всем. потом жертва создает для теста юзеря, мозг естестна генерит
>что-то типа "test213" через которые его потом и имеют...
подтверждаю. был случай именно тестовой учетки test. через нее и хапнули ;-) но т.к. учетка ничем не владела, кроме как сунуть в /tmp файлик весом в 1.5MB и запустить его на поиск других узлов - ничего другого не вышло.
| | |
|
|
| |
| |
| |
| 4.33, DEC (??), 14:45, 16/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
А зачем тогда ключи? Можно просто килобайтный пароль юзать.
| | |
| |
| 5.72, Daemontux (ok), 16:59, 16/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>А зачем тогда ключи? Можно просто килобайтный пароль юзать.
Можно и ssh отключить и сервервер в сейфе запереть ;)
| | |
| 5.81, Tav (?), 17:27, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> А зачем тогда ключи? Можно просто килобайтный пароль юзать.
man ssh-agent
| | |
| |
| 6.104, sHaggY_caT (ok), 19:24, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>> А зачем тогда ключи? Можно просто килобайтный пароль юзать.
>
>man ssh-agent
+1 :))
| | |
|
|
|
|
|
| 1.6, gennady (??), 13:20, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени.
Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь не улучшению безопасности.
Видимо скоро от ssh придется отказаться, как в свое время от telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC рулит.
| | |
| |
| 2.7, zazik (ok), 13:22, 16/11/2009 [^] [^^] [^^^] [ответить]
| +4 +/– |
>След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени.
>
> Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь
>не улучшению безопасности.
> Видимо скоро от ssh придется отказаться, как в свое время от
>telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC
>рулит.
Слишком толсто. Протокол никак не влияет на выбор идиотом логина/пароля admin:admin.
| | |
| |
| 3.188, ibat (??), 11:01, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>
>Слишком толсто. Протокол никак не влияет на выбор идиотом логина/пароля admin:admin.
Блин. Как ТЫ прав.
| | |
|
| 2.23, аноним (?), 14:10, 16/11/2009 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени
Замедлив перебор в 65 тысяч раз. Думайте головой иногда.
> Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь не
> улучшению безопасности
Наоборот. Новость как раз очень показательна - при такой распространенности unix систем, что на них начинают делать ботнеты, используют только уязвимости в людях.
> Видимо скоро от ssh придется отказаться, как в свое время от telnet. Т.к. переходить
> на гимор с сертификатам мало кто захочет. IPSEC рулит.
Бредятина.
| | |
| |
| 3.26, pavlinux (ok), 14:18, 16/11/2009 [^] [^^] [^^^] [ответить]
| +2 +/– | |
function request_from_bot_server_port_range() {
i = get_worker_attakers()
if ( i )
PORT_MIN = 1024 + (65535 - 1024 * i);
PORT_MAX = 65535/i;
return "PORT_MIN-PORT_MAX";
}
PR = request_from_bot_server_port_range;
OPEN_PORTS = 'nmap -sT server --scan-delay 2 -p $PR | grep open'
sleep 3600;
for i in $OPEN_PORTS
do
ssh root@server -i identity_file -p $i;
sleep 600;
done
Как-то так :)
| | |
| 3.39, Аноним (39), 15:03, 16/11/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
 В 65 тысяч раз он не замедлится. Он замедлится всего лишь на время, требуемое для сканирования портов.
А вот всего лишь добавление еще одного символа к паролю замедлит подбор в 128 раз.
| | |
| |
| 4.52, Tav (?), 16:15, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
Именно так. Использование нестандартного порта увеличивает перебор _на_ 65000, добавление к паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом, если в пароле больше 2-х символов, выбор нестандартного порта не даст заметного улучшения безопасности.
| | |
| 4.54, qwertykma (?), 16:20, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>В 65 тысяч раз он не замедлится. Он замедлится всего лишь на
>время, требуемое для сканирования портов.
>
>А вот всего лишь добавление еще одного символа к паролю замедлит подбор
>в 128 раз.
а вы не отслеживаете что кто-то перебирает у Вас порты? о_О
| | |
| |
| 5.82, Tav (?), 17:29, 16/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> а вы не отслеживаете что кто-то перебирает у Вас порты? о_О
а вы не отслеживаете что кто-то перебирает у Вас пароли?
| | |
|
| 4.102, аноним (?), 18:50, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> В 65 тысяч раз он не замедлится
Да. При переборе 65 тысяч он вообще невозможен, потому что после обращения к 2-3 закрытым портам можно сразу банить.
| | |
| |
| 5.103, PereresusNeVlezaetBuggy (ok), 18:53, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>> В 65 тысяч раз он не замедлится
>
>Да. При переборе 65 тысяч он вообще невозможен, потому что после обращения
>к 2-3 закрытым портам можно сразу банить.
Нет, просто можно одновременно подбирать пароли на 65 000 хостов.
| | |
| |
| |
| 7.154, PereresusNeVlezaetBuggy (ok), 22:29, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>И как это поможет?
Суммарная скорость подбора будет та же. Не забывайте, что речь сейчас идёт не о целенаправленных атаках. Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты. Например, узел A сканит порты 1024-1039, узел Б — 1040-1056 и т.д.
| | |
|
|
|
|
|
| 2.44, fetisheer (ok), 15:36, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Т.к. переходить на гимор с сертификатам мало кто захочет.
Никакого гемороя с сертификатами нет:
1. Создание ключа. Если не хватает знаний и умений на генерацию ключа, то для этого есть множество GUI и скриптов, которые не требуют параметров.
2. Прописывание в authorized_keys. Здесь даже сложно придумать сложность. Единственное, если из под другого юзера прописываешь, то надо поменять права файла.
3. Использование. Если из-под *nix системы, то достаточно поместить в нужное место и он сам подхватиться. В ином случае добавление -i ключ - не большая нагрузка. Из под виндоус putty прекрасно работает с ключами.
Отказ от telnet - тоже не совсем верно. Он занял свою нишу. Например, все свичи у нас находятся в отдельном влане, недоступном для пользователей и управляются через telnet.
| | |
| |
| 3.105, sHaggY_caT (ok), 19:26, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>
>Никакого гемороя с сертификатами нет:
>1. Создание ключа. Если не хватает знаний и умений на генерацию ключа,
>то для этого есть множество GUI и скриптов, которые не требуют
>параметров.
>2. Прописывание в authorized_keys. Здесь даже сложно придумать сложность. Единственное, если из
>под другого юзера прописываешь, то надо поменять права файла.
>3. Использование. Если из-под *nix системы, то достаточно поместить в нужное место
>и он сам подхватиться. В ином случае добавление -i ключ -
>не большая нагрузка. Из под виндоус putty прекрасно работает с ключами.
ssh-agent :)) как уже писали))
| | |
|
| 2.58, qwertykma (?), 16:22, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
> Видимо скоро от ssh придется отказаться, как в свое время от
>telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC
>рулит.
Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
| | |
| |
| 3.141, User294 (ok), 21:51, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак, пароль в открытом виде... особенно круто если вы за тридевять земель и по воздуху его шлете, ага). А локально порулить любой дурак может, только сидеть как цербер над железкой только потому что она тупая - не прикольно ни разу, имхо.
| | |
| |
| 4.172, аноним (?), 03:46, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
>
>Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак,
>пароль в открытом виде... особенно круто если вы за тридевять земель
>и по воздуху его шлете, ага). А локально порулить любой дурак
>может, только сидеть как цербер над железкой только потому что она
>тупая - не прикольно ни разу, имхо.
заходите на сервак по ssh с него к свитчу по telnet и айда все крушить и ломать
| | |
| |
| 5.179, User294 (ok), 09:38, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>заходите на сервак по ssh с него к свитчу по telnet
Ну да, легко стоять на плечах гигантов :P. А без ssh-а (или иного секурного туннеля) то и опаньки.
| | |
| |
| 6.186, аноним (?), 10:39, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>заходите на сервак по ssh с него к свитчу по telnet
>
>Ну да, легко стоять на плечах гигантов :P. А без ssh-а (или
>иного секурного туннеля) то и опаньки.
конечно, но пользовать то все равно можно, хоть и через костыли, если вдруг нужно ;)
| | |
| |
| 7.251, User294 (ok), 08:40, 21/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
Мне кажется что юзать телнет подставив ему SSH - редкий идиотизм. И изгаляться так приходится только благодаря проприетарным тормозам прогресса, которые все никак не снимутся с ручника и реализуют то что им проще а не то что реально удобнее клиентам...
| | |
|
|
|
| 4.256, Sto (?), 18:00, 21/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
>
>Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак,
>пароль в открытом виде... особенно круто если вы за тридевять земель
>и по воздуху его шлете, ага). А локально порулить любой дурак
>может, только сидеть как цербер над железкой только потому что она
>тупая - не прикольно ни разу, имхо.
да ну?
посмотрите как-нибудь телнет-сессию между двумя WIN-серверами в одном домене
потом пишите ... ересь всякую
| | |
|
|
|
| 1.9, klalafuda (?), 13:25, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
эммм... а что, кто-то ещё ходит по ssh не через ключи но через пароли? хм. ну что ж, ССЗБ как говорится. 'Тогда мы идём к вам!' (c)..
// wbr
| | |
| |
| 2.10, zazik (ok), 13:42, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>
>эммм... а что, кто-то ещё ходит по ssh не через ключи но
>через пароли? хм. ну что ж, ССЗБ как говорится. 'Тогда мы
>идём к вам!' (c)..
>
>// wbr
Чем плохи пароли?
| | |
| |
| 3.15, Аноним (-), 13:55, 16/11/2009 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Чем плохи пароли?
Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем остальным для которых открыт беспарольный доступ по ключам.
| | |
| |
| 4.20, zazik (ok), 14:04, 16/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>Чем плохи пароли?
>
>Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем
>остальным для которых открыт беспарольный доступ по ключам.
Кейлоггеры решают эту проблему для парольной защиты. А ключи надо хранить на сменном носителе.
| | |
| |
| 5.36, vbv (??), 14:58, 16/11/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
ключи надо хранить на сменном носителе.....
Пить надо меньше.
| | |
| |
| 6.41, zazik (ok), 15:18, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>ключи надо хранить на сменном носителе.....
>Пить надо меньше.
Куда уж меньше.
| | |
|
| 5.142, User294 (ok), 21:53, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Кейлоггеры решают эту проблему для парольной защиты.
Ну если так рассуждать то и файло ремовабельного носителя в принципе умыкнуть можно, в том числе и достаточно незаметно. Если вам подсунули кейлоггер - то и приблуду которая ключ с флехи вынет подсунут с таким же успехом.
| | |
| |
| 6.144, zazik (ok), 22:01, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Кейлоггеры решают эту проблему для парольной защиты.
>
>Ну если так рассуждать то и файло ремовабельного носителя в принципе умыкнуть
>можно, в том числе и достаточно незаметно. Если вам подсунули кейлоггер
>- то и приблуду которая ключ с флехи вынет подсунут с
>таким же успехом.
Можно. Поэтому, как здесь уже не раз говорилось, главное - мозг(точнее, его наличие), а не ключи/пароли.
| | |
|
|
| 4.60, Name (?), 16:24, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем
>остальным для которых открыт беспарольный доступ по ключам.
Ну если это машина, на которую заходят, то пофигу, пусть смотрят принимающий ключ, мастера то не получат
| | |
|
|
| |
| 3.13, Василий (??), 13:54, 16/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>клаф, муторно с ключами и не всегда удобно
Не просто муторно и неудобно, а в некоторых случаях ещё и совсем невозможно. Не каждый клиент умеет работать с ключами, а ситуации, в которых только такие клиенты под рукой, бывают. MidpSSH, например: SSH application for Java compatible phones and other mobile devices.
| | |
| |
| 4.19, zzz (??), 14:04, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
midpssh как раз умеет по ключу, а в некоторых случаях даже _только_ по ключу (по паролю у него не получается)
| | |
| 4.87, ьтл (?), 17:55, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Не каждый клиент умеет работать с ключами
зачем тогда беспокоится о безопастности!? если люди которые будут работать с системой не способны по бумажке-инструкции работать???
| | |
| |
| 5.119, Василий (??), 20:43, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Не каждый клиент умеет работать с ключами
>
>зачем тогда беспокоится о безопастности!? если люди которые будут работать с системой
>не способны по бумажке-инструкции работать???
Люди пускай работают как хотят. А программы не все умеют работать с ключами. Пример такой программы приводил выше.
| | |
|
|
|
| 2.17, pavlinux (ok), 14:03, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
Причём, запоминается очень легко.
Самый лучший ключ - это мозг.
Ключ можно просрать, украсть, консоль открытой оставить, ...
| | |
| |
| 3.34, gluk47 (?), 14:47, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
'Rj;fyyjq' с одной 'y' грамотнее))
И циферок можно добавить) А вообще, есть словари для перебора и непереключённого русского, хотя и не столь популярны. Можно попытаться делать всякие нестандартные ошибки и замены букв...
| | |
| |
| 4.62, pavlinux (ok), 16:28, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>'Rj;fyyjq' с одной 'y' грамотнее))
>И циферок можно добавить) А вообще, есть словари для перебора и непереключённого
>русского, хотя и не столь популярны.
А зря, скажу по секрету, в банковской сфере очень распространённый прием,
вплоть до неприличных - Yfnfif, Ktyjxrf, - Наташа, Леночка, Ukfd<e[ - ГлавБух,
Vjq Rjgm.nth - Мой Компьютер, Hf,jxbqGfhjkm - Рабочий Пароль, Ljvfiybq Gfhjkm - Домашниц Пароль и т.п. :)
| | |
| |
| 5.145, User294 (ok), 22:06, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>А зря, скажу по секрету, в банковской сфере очень распространённый прием,
Этот прием очень распостранен у завирусованых дебилов из вконтакта просравших свои пароли, так что увы, банкиры оказались не оригинальнее чем типовой дебил кормящий рыб в контакте :D.
| | |
| |
| 6.150, PereresusNeVlezaetBuggy (ok), 22:17, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>А зря, скажу по секрету, в банковской сфере очень распространённый прием,
>
>Этот прием очень распостранен у завирусованых дебилов из вконтакта просравших свои пароли,
>так что увы, банкиры оказались не оригинальнее чем типовой дебил кормящий
>рыб в контакте :D.
Собственно, это зачастую одна и та же аудитория…
| | |
| |
| 7.184, User294 (ok), 10:22, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
я думаю что в итоге хаксоры составят словарики на такие пароли, благо, конверсия существующих словарей в вот такие возможна в автоматическом режиме, на 1 дыхании. Так что эффективность такого подхода имхо весьма сомнительна, особенно после того как было две убедительных выборки по бакланам с вконтакта показывающим что немалый процент оных строит пароли именно так.
| | |
|
|
|
| 4.68, pavlinux (ok), 16:43, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> Можно попытаться делать всякие нестандартные ошибки и замены букв...
Собственно так же и создавать словарики.
Спасли бы ситуацию контрольные фразы, типа "Любимый футбольный игрок соседа",
или в связи с тотальной ГУЁвизацией, приделать пересылаемый Image объект с каляками.
| | |
|
| 3.89, ьтл (?), 17:59, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Самый лучший ключ - это мозг.
Самый лучший снифер это паяльник.
>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>
>Причём, запоминается очень легко.
man apg - не катит?
| | |
| |
| 4.143, User294 (ok), 21:56, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Самый лучший снифер это паяльник.
А вот от такого помогает ключ. Который можно и не таскать всегда с собой, а заодно можно и экстренно прое...ть "в случае чего".Правда тут еще вопрос надо ли, но тут уже по ситуации и в меру собственной дурости и храбрости.
| | |
|
| 3.156, Pilat (ok), 22:58, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>
>Причём, запоминается очень легко.
>
Для системного администратора такой пароль возможен, только если он помнит раскладку клавиатуры наизусть. А я однажды видел в Германии клавиатуру с нестандартной раскладкой, и кто гарантирует что такая не будет единственно доступной?
| | |
| |
| 4.165, PereresusNeVlezaetBuggy (ok), 01:00, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>>
>>Причём, запоминается очень легко.
>>
>
>Для системного администратора такой пароль возможен, только если он помнит раскладку клавиатуры
>наизусть. А я однажды видел в Германии клавиатуру с нестандартной раскладкой,
>и кто гарантирует что такая не будет единственно доступной?
В принципе верно. Хотя ИТ-шнику не уметь вслепую находить клавиши — ИМХО, недостойно. Но клавиатуры могут попасться самые разные (например, клавиатура мобильника, которая отнюдь не QWERTY) — а пытаться моторную память превратить в визуальную получается далеко не всегда, да и муторно это.
| | |
|
|
|
| 1.14, Аноним (-), 13:54, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ничего муторного с ключами нет, 2 раза прочел, 1 раз понял, 1 раз настроил.
А потом только любуешься на логи...
| | |
| |
| 2.185, User294 (ok), 10:36, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
С сложным паролем тоже только любуешься на логи. И в чем выигрыш? А "любоваться" можно и на хренадцать мегов логов, если не повезло и брутят совершенно внаглую...
| | |
| |
| 3.190, аноним (?), 11:09, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>С сложным паролем тоже только любуешься на логи. И в чем выигрыш?
>А "любоваться" можно и на хренадцать мегов логов, если не повезло
>и брутят совершенно внаглую...
выигрыш в том, что ты экономишь время при заходах и не мучаешь клаву лишний раз забивая или копи-пастя пароль, а при наличии 10+ серверов у тебя либо везде один пароль - что является уязвимостью, либо табличка под рукой с этими паролями - что является уязвимостью. вот и думай кто дурак.
| | |
|
|
| 1.25, Tav (?), 14:14, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
1. По возможности использовать ключи, а не пароли.
2. Всегда использовать только зашифрованные ключи с пассфразой, чтобы доступ к одной машине с ключами не позволил получить доступ ко всем остальным.
На самом деле, главная проблема: сервера с кучей пользователей, которых трудно заставить использовать надежные пароли.
| | |
| |
| 2.29, pavlinux (ok), 14:35, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>1. По возможности использовать ключи, а не пароли.
>2. Всегда использовать только зашифрованные ключи с пассфразой, чтобы доступ к одной
>машине с ключами не позволил получить доступ ко всем остальным.
>
>На самом деле, главная проблема: сервера с кучей пользователей, которых трудно заставить
>использовать надежные пароли.
PAM
| | |
| 2.30, Georges (ok), 14:39, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
и все эти пользователи имеют доступ к серверу по SSH ?
тогда уж лучше вручную выдавать, или автоматически генерировать пароли
| | |
| |
| 3.55, Tav (?), 16:21, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> и все эти пользователи имеют доступ к серверу по SSH ?
Да. Например, это университетский сервер с SSH-доступом для студентов.
> тогда уж лучше вручную выдавать, или автоматически генерировать пароли
Так и делаем, но у пользователей остается возможность изменить пароль.
| | |
| |
| 4.106, sHaggY_caT (ok), 19:28, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Так и делаем, но у пользователей остается возможность изменить пароль.
Забрать passwd :)
| | |
| |
| 5.115, zazik (ok), 20:28, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>
>>Так и делаем, но у пользователей остается возможность изменить пароль.
>
>Забрать passwd :)
/etc/passwd? Да хоть обчитайся.
| | |
| |
| 6.139, sHaggY_caT (ok), 21:46, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>
>>>Так и делаем, но у пользователей остается возможность изменить пароль.
>>
>>Забрать passwd :)
>
>/etc/passwd? Да хоть обчитайся.
нет, бинарь :)
С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его нельзя (если тем же strace посмотреть, очень много где используется)
| | |
| |
| 7.147, zazik (ok), 22:08, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>>
>>>>Так и делаем, но у пользователей остается возможность изменить пароль.
>>>
>>>Забрать passwd :)
>>
>>/etc/passwd? Да хоть обчитайся.
>
>нет, бинарь :)
>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>нельзя (если тем же strace посмотреть, очень много где используется)
Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я в курсе.
| | |
|
|
|
|
|
|
| 1.28, slay (??), 14:23, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
бредятина. есть 70 серваков, авторизация по паролям, за 8 лет пока не подобрали. а через 3*8лет - пензия. пущай перебирают
| | |
| 1.31, Аноним (-), 14:41, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --update --seconds 600 --hitcount 4 -j DROP
И пускай долбятся хоть с миллиона хостов.
| | |
| |
| 2.46, al (??), 15:39, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
Будете сидеть и лапу сосать, когда вас задосят.
| | |
| |
| 3.231, Ро (?), 20:43, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен
нормальный способ. блокируется ведь брутфорсер, а не весь интернет
| | |
| |
| 4.243, Аноним (-), 19:18, 18/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен
>нормальный способ. блокируется ведь брутфорсер, а не весь интернет
и легального пользователя заблокирует если он чаще будете подключатся, это правило ведь не проверяет успешный вход был или нет, оно просто пакеты считает
| | |
|
|
| 2.235, pavel_simple (ok), 00:52, 18/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator
>--set
>iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator
>--update --seconds 600 --hitcount 4 -j DROP
>
>И пускай долбятся хоть с миллиона хостов.
наивный аноним даже не представляет, что при переполнении таблицы , старые записи удаляются -- так что перебор достаточно производить ip_list_tot + 1 , в свою очередь ip_list_tot по умолчанию равен 100.
| | |
|
| 1.32, User294 (ok), 14:44, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились. Наверное как раз потому что срач в логе на много мегов - админов задалбывает и они имеют тенденцию бороться с такой активностью. И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем они их так подберут...
| | |
| |
| 2.37, vbv (??), 15:01, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень
>нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились.
>Наверное как раз потому что срач в логе на много мегов
>- админов задалбывает и они имеют тенденцию бороться с такой активностью.
>И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи
>ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем
>они их так подберут...
Полностью поддерживаю! :-)
| | |
| 2.53, PereresusNeVlezaetBuggy (ok), 16:19, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень
>нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились.
>Наверное как раз потому что срач в логе на много мегов
>- админов задалбывает и они имеют тенденцию бороться с такой активностью.
>И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи
>ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем
>они их так подберут...
А ещё можно выдрать из логов особо внушительную подборку попыток подбора пароля, распечатать и принести генеральному, требуя повышения зарплаты за денную и нощную защиту его бизнеса от тысяч хакеров. ;)
| | |
| |
| 3.125, User294 (ok), 21:11, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>А ещё можно выдрать из логов особо внушительную подборку попыток подбора пароля,
Это надо было делать чуть раньше - логи пухли одно время очень конкретно, но сейчас хаксоры перестали наглеть (видимо, потому что такой срач в логи часто ведет к озадачиванию админов как с этим срачем бороться) и перешли к медленным и распределенным сканам.
| | |
|
|
| 1.42, Аноним (39), 15:19, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
Копец юниксоиды, увидев новость что червь подбирает пароли по словарику из ста слов, сразу начинают толкать идеи что надо ssh на другой порт перевешивать, сделать вход по ключам и отпечаткам пальцев или вообще не пользоваться ssh.
Это как некоторые отключаются от интернета, посмотрев нужные страницы, потому что в интернетах Вирусы.
| | |
| 1.47, Аноним (-), 15:44, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В идеале оно правильно.
Если в сервисе нет необходимости он должен быть отключен
| | |
| 1.51, ITCrow (?), 16:14, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????
| | |
| |
| 2.56, PereresusNeVlezaetBuggy (ok), 16:22, 16/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Неужели у всех доступ к сервакам по SSH открыт не только для
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????
Ну, у всех не у всех, а мне вот удобнее так — в случае проблем на работе я могу в Сеть выйти хоть в Папуа Новой Гвинее, был бы GPRS или ещё какой способ достучаться. У всех свои задачи, и чем действительно хорош SSH — он даёт возможность их решать максимально безопасным в рамках их условий способом.
| | |
| 2.97, Vitaly_loki (ok), 18:43, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????
Прикинь, едешь ты в паровозе далеко-далеко от дома и тут тебе SMS прилетает от крона (или от начальника) с сообщением "Все пропало, шеф", если твоем GSM-телефону персональный IP не выделен (причем в роуминге), то не сладко тебе придется едь ты по-любому только для рабочего и домашнего компа доступ то открыл..
| | |
| |
| 3.98, Vitaly_loki (ok), 18:45, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????
Прикинь, едешь ты в паровозе далеко-далеко от дома и тут тебе SMS
прилетает от крона (или от начальника) с сообщением "Все пропало, шеф",
если твоему GSM-телефону персональный IP не выделен (причем в роуминге), то
не сладко тебе придется ведь ты по-любому только для рабочего и
домашнего компа доступ то открыл..
| | |
|
| 2.129, User294 (ok), 21:21, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????
А потом, когда что-то опнется, а у вас только какойнить n800 (а то и вовсе только мобила) да жпрс под рукой - всосать, да? Нет уж, спасибочки, я видел достаточно дятлов наступивших на эти грабли, когда что-то упало, а у них под рукой только жпрс. Как-то +1 к их числу быть совсем неохота.
Кстати для маскировки под пенька есть забавная штука - port knocking. Для тех кто не знает последовательность стукания по портам - никакого ssh у вас как бы вообще не существует :-)
| | |
| |
| 3.161, sHaggY_caT (ok), 23:52, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Кстати для маскировки под пенька есть забавная штука - port knocking. Для
>тех кто не знает последовательность стукания по портам - никакого ssh
>у вас как бы вообще не существует :-)
Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот если большую часть дня по ним ходишь, то рулит ssh-agent и bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
| | |
| |
| 4.174, аноним (?), 03:58, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь, то рулит ssh-agent и
>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
>
алиасы... девушка, дуйте читать man ssh_config, а еще жайлы засирали, блин, тоже поди ман на них не осилили?
# head /root/.ssh/config
Host XXX
User admin
Port 999
| | |
| |
| 5.178, sHaggY_caT (ok), 07:20, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
>>
>
>алиасы... девушка, дуйте читать man ssh_config, а еще жайлы засирали, блин, тоже
>поди ман на них не осилили?
>
># head /root/.ssh/config
>Host XXX
> User admin
> Port 999
Тоже вариант, если везде используются разные порты. А Вы всегда сидите под рутом о_О:)?
| | |
| |
| 6.193, аноним (?), 11:29, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Тоже вариант, если везде используются разные порты. А Вы всегда сидите под
>рутом о_О:)?
это правильный способ, а не вариант ;)
это удаленная машинка, на которой, в скрине, у меня идет работа с кучей других машинок, по-этому ничего страшного и криминального.
| | |
| |
| 7.204, sHaggY_caT (ok), 12:04, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>это удаленная машинка, на которой, в скрине, у меня идет работа с
>кучей других машинок, по-этому ничего страшного и криминального.
Ну да, такая "машинка" есть у многих (у нас даже несколько, под разные департаменты), но _зачем_ на ней сидеть под рутом :)?
Особенно если на "машинке" почти у всех запущен ssh-agent, и пользуется ей несколько человек?
Кстати, тогда уж /etc/ssh/ssh_config, который будет формироваться каким-нибудь скриптом, где-нибудь(в SQL, в LDAP, и т д) беря соотвествие хост-порт по крону :)
| | |
| |
| 8.220, аноним (?), 15:56, 17/11/2009 [^] [^^] [^^^] [ответить] | +/– | она у меня монопольна в юзании сидеть от юзера конечно можно было бы, но в данн... большой текст свёрнут, показать | | |
|
|
|
| 5.207, sHaggY_caT (ok), 12:17, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
> а еще жайлы засирали, блин, тоже
>поди ман на них не осилили?
А Вы мне теперь это всю жизнь будете припоминать, и обязательно анонимно?
По-моему, высказать обоснованную критику любого решения это право каждого человека, Вы не находите?
Если Вы считаете, что с моей стороны в чем-то эта точка зрения объяснена недостаточно исчерпывающе и точно, я предлагаю продолжить в той теме _дискуссию_ если Вы в чем-то не согласны с данной позицией, либо в личке :)
| | |
| |
| 6.221, аноним (?), 16:10, 17/11/2009 [^] [^^] [^^^] [ответить] | +/– | анонимы все помнят, анонимы все знают был бы ник, написал бы от него да, счи... большой текст свёрнут, показать | | |
| |
| 7.222, sHaggY_caT (ok), 16:40, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>да, считаю, что вы не обоснованно раскритиковали жайлы, хотя это даже не
>критика, т.к. критика должны быть подтверждена фактами, коих не было. все
>что я хотел сказать, я сказал там, продолжать спор на эту
>тему думаю не уместно, вы сами сказали, что не хотите ни
>с кем ссорится и несколько раз делали попытки уйти из темы.
Факты были(я ответила на все разуменые комментарии и объяснила свою позицию детально), тема мне действительно надоела, но считаю, что Вы не правы в том, что факты я не предоставляла.
Если Вы хотите продолжить дискуссию, напишите в той теме, что именно я не подтвердила фактами, тут это оффтоп.
| | |
|
|
|
| 4.180, User294 (ok), 09:40, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь,
... то надо, наверное, написать скриптик который сделает за вас обезьянью работу :D
| | |
| 4.181, User294 (ok), 10:15, 17/11/2009 [^] [^^] [^^^] [ответить] | +/– | Зато может спасти от такой напасти когда кто-то слишком уж нагло брутит ssh, ss... большой текст свёрнут, показать | | |
| |
| 5.199, sHaggY_caT (ok), 11:59, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>
>Оно в принципе не замена порткнокинга. Например см. выше почему. И, собственно
>я не понял - а какие проблемы автоматизировать стучание на порты?
>Просто у вас то скриптик или что там еще для стукания
>- есть, а вот хаксор Вася с улицы не знающий как
>стучать, видит только закрытый порт. И откуда б ему узнать как
>там надо правильно стучаться по портам чтобы порт открылся? В итоге
>даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп
>от фаера. Это несколько лучше чем если б они в 20
>рыл насели на sshd с активным брутом.
Хорошо, возможно, Вы правы. Просто в большой сети вероятность того, что какой-то "левый" пакет попадет не на тот порт, и нарушит последовательность, мне кажется, выше. Но, наверное, ей можно принебречь)
| | |
| |
| 6.203, PereresusNeVlezaetBuggy (ok), 12:03, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>>- есть, а вот хаксор Вася с улицы не знающий как
>>стучать, видит только закрытый порт. И откуда б ему узнать как
>>там надо правильно стучаться по портам чтобы порт открылся? В итоге
>>даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп
>>от фаера. Это несколько лучше чем если б они в 20
>>рыл насели на sshd с активным брутом.
>
>Хорошо, возможно, Вы правы. Просто в большой сети вероятность того, что какой-то
>"левый" пакет попадет не на тот порт, и нарушит последовательность, мне
>кажется, выше. Но, наверное, ей можно принебречь)
"Левый пакет" с того же IP? Вероятность тут никак не зависит от размеров сети за фаерволом.
| | |
| |
| 7.206, sHaggY_caT (ok), 12:09, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>"Левый пакет" с того же IP? Вероятность тут никак не зависит от
>размеров сети за фаерволом.
Возможно, даже для публичного IP больше. Да, написала чушь. Скорее просто не хочется разбираться с тем, что *когда-нибудь* не пустит(что из-за большего числа хостов скорее случится), но, думаю, вероятность этого очень мала, так что, можно использовать:)
В общем, написала, повторюсь, чушь.
UPDATE: + чушь про публичный IP, он в любом случае-то публичный :)
| | |
|
|
|
|
|
| 2.224, аноним (?), 17:33, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Неужели у всех доступ к сервакам по SSH открыт не только для
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????
Разумеется. Вы http сервер тоже только для доверенных открываете?
| | |
|
| 1.59, PereresusNeVlezaetBuggy (ok), 16:24, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Атаки с ботсетей наблюдаю уже далеко не первый год — почти столько, сколько прошло с первого поднятого SSH-сервера, доступного из инета. :) Ну пусть подбирают, что уж тут… Для особо упорных max-src-conn-rate в pf стоит, а те, кто себя аккуратно ведёт — может, за пару тыщ лет что-нибудь и подберут. :)
| | |
| 1.64, q2dm1 (?), 16:33, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Можно iptables хитро настроить, чтобы он открывал 22 порт для соединения только после стука на какой-нить 43126 ;)
| | |
| |
| 2.67, Tav (?), 16:42, 16/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
Такой же бесполезный костыль, как и ssh на нестандартном порте.
| | |
| |
| 3.75, PereresusNeVlezaetBuggy (ok), 17:09, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Такой же бесполезный костыль, как и ssh на нестандартном порте.
И даже вредный: с мобильника пока постучишься по всем портам, все таймауты отвалятся.
| | |
| |
| 4.130, User294 (ok), 21:23, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>И даже вредный: с мобильника пока постучишься по всем портам, все таймауты
>отвалятся.
А скрипт написать? На какойнмть n8x0 вполне себе вариант :).А с чего-то более убогого ssh юзать слишком уж траходромно...
| | |
| |
| 5.134, PereresusNeVlezaetBuggy (ok), 21:32, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>И даже вредный: с мобильника пока постучишься по всем портам, все таймауты
>>отвалятся.
>
>А скрипт написать? На какойнмть n8x0 вполне себе вариант :).А с чего-то
>более убогого ssh юзать слишком уж траходромно...
Зато порой актуально. Я как-то раз с Motorola v535 что-то чинил. ;)
| | |
| |
| 6.146, User294 (ok), 22:07, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
После n8x0 (которые вполне таскабельны с собой) ssh на остальных телефонах кажется каким-от нереальным порно...
| | |
| |
| 7.151, PereresusNeVlezaetBuggy (ok), 22:17, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>После n8x0 (которые вполне таскабельны с собой) ssh на остальных телефонах кажется
>каким-от нереальным порно...
«Жизнь заставит — не так раскорячишься!» ©
| | |
|
|
|
|
| 3.225, аноним (?), 17:34, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Такой же бесполезный костыль, как и ssh на нестандартном порте.
Это как раз идеальное решние. Попросил бы вас описать не костыль, но вы, боюсь не осилите.
| | |
| |
| |
| 5.236, pavel_simple (ok), 01:04, 18/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная
>система ...
не соглашусь с вами , по той простой причине что окромя того, что перебор, никто пока не гарантирует, что в ssh не найдут такую-жу дыришу как недавно в реализации ssl от openssl/gnutls
P.S. дополнительный portknock позволит не делать "резких движений" по обновлению ПО, особенно такого критичного как ssh.
| | |
| |
| |
| 7.238, pavel_simple (ok), 01:32, 18/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
специально вывесив год назад машинку в тырнет могу сказать, что ботнет этот (точнее сам скрипт) совершенствуется
сначала был тупой скрипт, который имел при себе список пользователей + список самых часто встречающихся паролей, долбил исключительно на 22
второй скрипт, помимо того, что имел связь с обновлениями списков (причем через dns), долбил 222,2222 и ещё пару вариантов, а так-же сравнивал свою базу пользователей с /etc/passwd, и в случае чего отправлял новые имена по http на всякие бесплатные хостинги
последний отловленный дополнительно ищет утилиты nmap, arp/arping, и в случае нахождения arp записей в первую очередь сканирует ip машинок в едином для зараженной машины ethernet "домене".
так чтаа.... все эти перевесил на другой порт... это полная фигня
| | |
|
|
|
|
|
|
| 1.65, Derevo_2 (?), 16:40, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>Зафиксирована новая ботнет-сеть, распространяющаяся через SSH
А почему так долго фиксировали? Я давно заметил.
Смысл переставлять sshd на другой порт?
Пусть подбирают. Удачи в безнадёжном деле...
Единственное, что напрягает ---- разбухание лог-файлов.
Поэтому 22-й порт зафаерволлил пока не пройдёт эпидемия...
| | |
| 1.69, troy (??), 16:46, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Пора давно вводить политику запрета возможности создания простых паролей (по умолчанию). Как в виндовых серверах. Хочешь пароль 111, лезь во внутрь и отдельно снимай ограничения.
| | |
| |
| 2.78, mkmv (ok), 17:13, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
пароли в мозге хранить надо.
makepasswd --minchars 10 --maxchars 10
vQU81uPUSD
Отличный пароль. И запоминается нормально.
| | |
| |
| 3.79, angel_il (?), 17:17, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
ну да, только пользователя root у меня нет, так что перебирать долго будут, а вот то что логи загаживают это плохо...
| | |
| |
| 4.133, User294 (ok), 21:29, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>будут, а вот то что логи загаживают это плохо...
Правило айпитаблесу (или кому там у вас скормите) и сильно загаживающие логи - пойдут лесом. Можно просто отстреливать тех кто чрезмерно долбится, можно более кардинально - порткнокинг нарулить, тогда отстрелятся все кто не в курсе как правильно постучаться.
| | |
| |
| 5.162, angel_il (?), 00:00, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>будут, а вот то что логи загаживают это плохо...
>
>Правило айпитаблесу (или кому там у вас скормите) и сильно загаживающие логи
>- пойдут лесом. Можно просто отстреливать тех кто чрезмерно долбится, можно
>более кардинально - порткнокинг нарулить, тогда отстрелятся все кто не в
>курсе как правильно постучаться.
Да не то чтобы это сложно на wl500 сделать, просто лениво... пароль не подберут, имя пользователя не угадают, если только дыру в дропбире какую заюзают.
| | |
| |
| 6.197, User294 (ok), 11:51, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
Фигасе, это 500gp так осаждают? Во оригиналы :). Интересно, что бы они делали если брут удался? :). И там проц не грузится? А то я на обычном серванте засек как-то довольно заметную нагрузку а при разборках что же кушает проц - заметил что орава дятлов насела на sshd и брутит так что только флуд в логах стоит :).
| | |
| |
| 7.219, angel_il (?), 14:36, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
ну дропбир он какбы полегче sshd будет... я не замечал особых напрягов с точкой, в момент когда они ломились, если честно.
| | |
|
|
|
|
| 3.86, аноним (?), 17:53, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
да и матрицу 10*100 (символов в пароле * кол-во машинок) ни какого труда запомнить не составит, выучить можно на вечер %)
| | |
| |
| 4.148, User294 (ok), 22:08, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>да и матрицу 10*100 (символов в пароле * кол-во машинок) ни какого
>труда запомнить не составит, выучить можно на вечер %)
Ну тогда можно и ключик вызубрить а потом в хексэдиторе его наколотить :)))
| | |
|
| 3.157, Pilat (ok), 23:03, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>пароли в мозге хранить надо.
>
>makepasswd --minchars 10 --maxchars 10
>vQU81uPUSD
>
>Отличный пароль. И запоминается нормально.
И сколько десятков таких паролей сэр хранит в своём мозге?
| | |
| |
| 4.159, PereresusNeVlezaetBuggy (ok), 23:23, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>пароли в мозге хранить надо.
>>
>>makepasswd --minchars 10 --maxchars 10
>>vQU81uPUSD
>>
>>Отличный пароль. И запоминается нормально.
>
>И сколько десятков таких паролей сэр хранит в своём мозге?
Тс-с-с! Не пали, это же Онотоле!
| | |
| |
| 5.261, mkmv (ok), 10:37, 30/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>>пароли в мозге хранить надо.
>>>
>>>makepasswd --minchars 10 --maxchars 10
>>>vQU81uPUSD
>>>
>>>Отличный пароль. И запоминается нормально.
>>
>>И сколько десятков таких паролей сэр хранит в своём мозге?
>
>Тс-с-с! Не пали, это же Онотоле!
ну 17 храню. Пока
| | |
|
|
|
|
| |
| 2.90, angel_il (?), 18:01, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP
написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.
| | |
| |
| 3.126, voodix (ok), 21:12, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.
1. Через iptables баню на день IP-шник после 50 попыток. (скриптом автоматом в кроне) 2 года уже и нечему даже распухать.
2. Root закрыл вход по ssh
3.Пароль такой, что, - как говорил турецкий паша: раньше Дунай поднимется в небеса, и небо упадет на землю, прежде чем крепость Измаил падет. (Правда Суворов таки взял тогда крепость)
Вот сменить порт - это тема...
| | |
| |
| 4.132, PereresusNeVlezaetBuggy (ok), 21:28, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.
>
>1. Через iptables баню на день IP-шник после 50 попыток. (скриптом автоматом
>в кроне) 2 года уже и нечему даже распухать.
Я баню за 5-10 попыток в течение минуты на несколько часов. Эффект 100%. :)
>2. Root закрыл вход по ssh
Это вообще обязательная мера (точнее, запрет входа по паролю).
>3.Пароль такой, что, - как говорил турецкий паша: раньше Дунай поднимется в
>небеса, и небо упадет на землю, прежде чем крепость Измаил падет.
>(Правда Суворов таки взял тогда крепость)
Главное, не забывать его менять хотя б раз в год…
>Вот сменить порт - это тема...
… бесполезная. ;)
| | |
|
| 3.128, voodix (ok), 21:17, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
PS Имя пользователя хоть и простое, но не разу не попадалось в логах... вот такой зигзаг удачи.
| | |
| |
| 4.175, аноним (?), 04:33, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>PS Имя пользователя хоть и простое, но не разу не попадалось в
>логах... вот такой зигзаг удачи.
кстати о именах: на днях просматривая логи нашел имя: natasha :)
| | |
|
|
| 2.116, User294 (ok), 20:30, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> а что, никто не юзает fail2ban?
Смысл? Один хост делает всего 1 или несколько медленных банов. Так можно самому бан отхватить :)
| | |
|
| 1.93, Дмитрий Ю. Карпов (?), 18:33, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему никто не догадался сделать обманку? Обманка пустит взломщика в виртуальный шелл под любым паролем и будет крутить ему мозги, пока ему не надоест.
| | |
| |
| 2.95, PereresusNeVlezaetBuggy (ok), 18:37, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Почему никто не догадался сделать обманку? Обманка пустит взломщика в виртуальный шелл
>под любым паролем и будет крутить ему мозги, пока ему не
>надоест.
Почему не догадался? honeypot'ам не первый десяток лет.
| | |
|
| |
| 2.108, i (??), 20:00, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
+1
давно так сделал, теперь класть я хотел на эти переборы
| | |
| 2.118, User294 (ok), 20:34, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Вход по ключу, + проль)
У ключа есть один минус. Он же впрочем и плюс. В голову не влезает, знаете ли. Поэтому иногда, если заранее ключ с собой не утянул - можно и всосать. С другой стороны, то же самое можно сказать и про желающих получить доступ к вашему ресурсу :).
| | |
| |
| 3.120, i (??), 20:46, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
так это.. ношу на мелкой флешке, как брилок вместе с ключами (железными от квартиры :)
| | |
| |
| 4.137, User294 (ok), 21:38, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>так это.. ношу на мелкой флешке,
Я n800 юзаю, в том числе иногда и для ssh - не очень представляю себе как удобно юзать при этом флешки. Флешку и кабель везде с собой таскать? Вот *вы* и таскайте. И у меня большие сомнения что кто-то ломанет 12..15-символьные пароли которых явно нет в словарях за разумный срок. Удачи чувакам в их сломе, ага. Если они подберут их к моменту погасания солнца - мне уже будет все-равно, поверьте :P. Я знаю только один метод слома таких паролей - фишинг (да, вконтакт опять поимели и там и сложные пароли были). Но с ssh он имеет свойство не работать из-за проверки аутентичности хоста и наличия мозга у того кто за терминалом...
| | |
|
|
|
| 1.117, Sw00p aka Jerom (?), 20:31, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 развели не флуд, а чёрт знает что
ссх накая вещь что доступ к ней надо граничиват по полной программе
и тогда не будут мощолить глаза записи в месседж логах
менять порт это первое что придёт на ум (конечно же если человек не уверен что его пасс стойкий)
| | |
| |
| 2.121, PereresusNeVlezaetBuggy (ok), 20:46, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>развели не флуд, а чёрт знает что
>
>ссх накая вещь что доступ к ней надо граничиват по полной программе
Если вы не можете доверять своему shell-серверу, то, боюсь, бояться надо не вежливых ботнетов…
>и тогда не будут мощолить глаза записи в месседж логах
Которые, вообще-то можно анализировать хотя бы даже grep'ом. У меня не возникает проблемы каждый день проглядывать (посмеиваясь) логи пяти серверов с доступом по SSH извне. Будет серверов больше — поставлю какую-нибудь утилиту для анализа, или сам наваяю.
>менять порт это первое что придёт на ум (конечно же если человек
>не уверен что его пасс стойкий)
Если он в этом не уверен, то ему надо заниматься чем угодно, только не ИТ-безопасностью.
| | |
| 2.138, User294 (ok), 21:41, 16/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>ссх накая вещь что доступ к ней надо граничиват по полной программе
Конечно, ведь приятнее всего когда сервак лежит и вы не можете ничего поделать как раз из-за граблей которые сами же себе и разложили :-).
| | |
| |
| 3.187, Sw00p aka Jerom (?), 10:40, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))
сервер пашет админ спит
| | |
| |
| 4.200, PereresusNeVlezaetBuggy (ok), 12:00, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))
>
>
>сервер пашет админ спит
Читайте, на что именно вам отвечают. И с каких этот пор переезд сам по себе стал ограничительной мерой?
| | |
| 4.205, User294 (ok), 12:07, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))
Он может лежать по другим причинам. И если ssh на выход админы все-таки обычно на фаерах не режут (т.к. пользуются :D) то вот нестандартные порты могут быть и прибиты (чтобы вируссы и прочая хрень типа троянов и всяких бэкдоров - всосали). Посему из какойнить энтерпрайзности на нестандартный порт - может и не получиться.
>сервер пашет админ спит
Хорошо если так. Но насчет ограничений - видел несколько прикольных epic fail-ов когда админы разрешали только trusted подсети, а потом ... потом сервак падал, админ в чистом поле с жпрсрм и - попу рвет, потому что жпрс ни разу не является доверяемой подсетью, разумеется. В лучшем случае админ окольными путями протискивался в свою подсеть. В хучшем сервак был в дауне на достаточно длительный срок.
| | |
|
|
|
| 1.166, voodix (ok), 01:40, 17/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Докладываю: сменил порт ssh. За Время наблюдения, - 4 часа,- ни одна сфолочь не попыталась обратиться к ssh по указаному порту.
Продолжаю наблюдение.
| | |
| |
| 2.167, PereresusNeVlezaetBuggy (ok), 01:43, 17/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Докладываю: сменил порт ssh. За Время наблюдения, - 4 часа,- ни одна
>сфолочь не попыталась обратиться к ssh по указаному порту.
> Продолжаю наблюдение.
Скажи IP ;)
| | |
| |
| 3.168, voodix (ok), 02:26, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Скажи IP ;)
А зачем? ;)
Имени не знаешь - оно не соответствует нику, а пароль 15 значный с набором непечатно-матершинных символов. В nmap по скудному списку портов сразу поймешь на каком порту висит ssh - и что? Главно то, что всяка зараза не предполагает что 22 порт - не ssh. Он кстати вполне себе открыт.
И еще: на IP зарегистрирована реальная организация - открывать личную историю - не по Кастанеде.
| | |
| |
| 4.169, PereresusNeVlezaetBuggy (ok), 02:33, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Скажи IP ;)
>
> А зачем? ;)
Чтобы сволочь появилась. ;) Не надо ко всему так серьёзно относиться. ;)
> Имени не знаешь - оно не соответствует нику, а пароль 15
>значный с набором непечатно-матершинных символов. В nmap по скудному списку портов
>сразу поймешь на каком порту висит ssh - и что? Главно
>то, что всяка зараза не предполагает что 22 порт - не
>ssh. Он кстати вполне себе открыт.
> И еще: на IP зарегистрирована реальная организация - открывать личную историю
>- не по Кастанеде. | | |
| |
| 5.170, voodix (ok), 02:42, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Не надо ко всему так серьёзно относиться. ;)
Согласен. Буду работать над собой... =) в хорошем смысле...
| | |
|
|
|
|
| 1.176, Z581840 (?), 04:58, 17/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По VPN коннектимся к серверу, а дальше чо хошь то и делаешь в локальной сети. В логах никаких переборов, и полная свобода действий. :)
| | |
| |
| 2.196, zazik (ok), 11:44, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По
>VPN коннектимся к серверу, а дальше чо хошь то и делаешь
>в локальной сети. В логах никаких переборов, и полная свобода действий.
>:)
Тоже хороший вариант, пока не понадобится коннектиться из Зимбабве с мобилы.
| | |
| 2.212, voodix (ok), 12:51, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По
>VPN коннектимся к серверу
Какая разница, к какой службе будут перебирать пароли. Что, VPN более защищен чем ssh?
PS. После смены порта ssh в логах полная тишина - никто больше не суется.
| | |
|
| 1.208, upyx (ok), 12:20, 17/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Не так важно как, важно, чтобы не как у всех. И чтобы никто не знал :)
Блин... хочу себе бот-нетик... Чтобы он чего-нить делал, данные скидывал, графики по ним рисовались... Или лучше рыбок завести? :)
| | |
| |
| 2.218, PereresusNeVlezaetBuggy (ok), 14:31, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Не так важно как, важно, чтобы не как у всех. И чтобы
>никто не знал :)
>
>Блин... хочу себе бот-нетик... Чтобы он чего-нить делал, данные скидывал, графики по
>ним рисовались... Или лучше рыбок завести? :)
Сделай ботнет для Android'ов, скоро будет актуально. ;)
| | |
|
| 1.215, pavel_simple (ok), 13:45, 17/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
простейший portknock'ер работающий по icmp
-A INPUT -p icmp --icmp-type 8 -m length --length 153 -m recent --name pk --rsource --set -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 154 -m recent --name pk --rsource --update --hitcount 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 155 -m recent --name pk --rsource --update --hitcount 2 -j ACCEPT
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP
для того чтобы открыть 22 порт достаточно и необходимо
ping -s 125 -c 1 адрес
ping -s 126 -c 1 адрес
ping -s 127 -c 1 адрес
количество пакетов регулируется через --hitcount
сами числа передаются через длину icmp-echo
хорош тем что инструмен "стучания" обычно доступен
| | |
| |
| 2.227, аноним (?), 17:40, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
Да, пока какой-нибудь роутер не добавить хитровы*банную IP опцию в заголовок.
| | |
| |
| 3.229, pavel_simple (ok), 17:51, 17/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Да, пока какой-нибудь роутер не добавить хитровы*банную IP опцию в заголовок.
какую?
man iptables
length
This module matches the length of the layer-3 payload (e.g. layer-4 packet) f a packet against a specific value or range of values.
[!] --length length[:length]
| | |
|
| 2.239, pavel_simple (ok), 02:02, 18/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>
>для того чтобы открыть 22 порт достаточно и необходимо
>ping -s 125 -c 1 адрес
>ping -s 126 -c 1 адрес
>ping -s 127 -c 1 адрес
>
>количество пакетов регулируется через --hitcount
>сами числа передаются через длину icmp-echo
>
>хорош тем что инструмен "стучания" обычно доступен
P.S.
поправка строка -A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck -j ACCEPT
должна выглядеть как
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck --hitcount 3 -j ACCEPT
иначе доступ будет открыт при "попадании" первого пакета
| | |
|
| 1.234, Аноним (-), 00:23, 18/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На слабом канале 30кбит, Nmap выудил нестанданртый порт ssh за scanned in 27.15 seconds. Получается что использование нестандартного порта защиты не дает никакой, но от придурков ограждает.
| | |
| |
| 2.244, аноним (?), 19:23, 18/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
Еще раз - попытка коннекта к 2-3 закрытым портам с одного хоста = бан.
| | |
|
| 1.240, Pasha (??), 10:41, 18/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Злой хакер хочет поиметь SSH? Не вопрос. Дайте ему эту возможность.Ставим honeypot и экономим время как хакера, так и свое. Хакер возится в "песочнице", получает удовольствие. СБ принимает меры, вычисляя причину столь пристального внимания к информационному ресурсу. Техническая сторона вопроса - развести фейковые аккаунты для хонейпота и реальные аккаунты пользователей по разным "песочницам" с одного порта. В случае, если атака идет по "живому" аккаунту - аккаунт переводится в разряд фейковых, пользователю меняют аккаунт на другой, с имени любимой кошечки пользователя "Kitty" на имя любимой собачки сисадмина "UsR711290-09". Пользователь перетерпит. А СБ пускай займется выяснением причин утечки логина пользователя.
| | |
| |
| 2.241, Pasha (??), 10:46, 18/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Злой хакер хочет поиметь SSH? Не вопрос. Дайте ему эту возможность.Ставим honeypot
>и экономим время как хакера, так и свое. Хакер возится в
>"песочнице", получает удовольствие. СБ принимает меры, вычисляя причину столь пристального внимания
>к информационному ресурсу. Техническая сторона вопроса - развести фейковые аккаунты для
>хонейпота и реальные аккаунты пользователей по разным "песочницам" с одного порта.
>В случае, если атака идет по "живому" аккаунту - аккаунт переводится
>в разряд фейковых, пользователю меняют аккаунт на другой, с имени любимой
>кошечки пользователя "Kitty" на имя любимой собачки сисадмина "UsR711290-09". Пользователь перетерпит.
>А СБ пускай займется выяснением причин утечки логина пользователя.
P.S. Обеспечение безопасности информации - задача не только техническая. Порой проще слить хакеру дезу, чем героически сопротивлятся попыткам взлома исключительно техническими средствами.
| | |
|
| 1.247, demo (??), 14:52, 19/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это, правда, не ssh.
это vsftpd:
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrator rhost=93.174.142.225 : 1959 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=61.152.239.49 : 33 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratur rhost=60.217.229.228 : 6871 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratore rhost=60.217.229.228 : 1564 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administratori rhost=60.217.229.228 : 1319 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrateur rhost=60.217.229.228 : 6871 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrator rhost=60.217.229.228 : 6869 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratore rhost=60.217.229.228 : 5307 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=200.156.25.75 : 1180 Time(s)
но настойчивость поразительная...
| | |
| 1.249, Edward (??), 22:12, 19/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А по-моему, это всё идиотизм. Развели демагогию. Из присутствующих кто-то пострадал? То-то... СПИДа нет и не будет. Баста.
| | |
| |
| 2.258, Вячеслав (??), 11:11, 24/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
Ботнет сеть - ломает идиотов. Хоть сколько нибудь понимающий в математике и компьютерах представитель хомосапиенс понимает что перебором паролей КОМП_ПОД_АДМИНОМ (а не чайником) взломать удастся через ООчень много лет.
Перенос порта - игрушка чтобы в логи не гадило и только. Криптостойкость увеличивается минуты на полторы.
iptables и/или хостэллоу помоему от брутфорса почти панацея.
| | |
|
|
