Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8853

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 28.08.2008, 19:59  postituse pealkiri:  Rünnakud Linuxi serverite SSH turvasertifikaatide vastu!  

US Computer Emergency Readiness Team (CERT) US-CERT hoiatab, et Linuxi süsteemid on aktiivse rünnaku all, kuna välja on töötatud spetsiaalne skript, mille abil rünnatakse arvuteid, mis kasutavad SSH lihtsamaks ühenduseks turvasertifikaate. Juhul, kui süsteemi on sisse pääsetud, siis võetakse endale root kasutaja õigused ja paigaldatakse phalanx2 rootkit.
Kasutajatel soovitatakse üle vaadata oma süsteemide SSH sertifikaadid ja nende salasõnad. Sest arvatavasti põhineb antud rünnak Debiani hiljuti avastatud SSH sertifikaatide genereerimise veal.

Allikas Tectonic

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 28.08.2008, 20:56  postituse pealkiri:  Re: Rünnakud Linuxi serverite SSH turvasertifikaatide vastu!  

spott kirjutas:
Juhul, kui süsteemi on sisse pääsetud, siis võetakse endale root kasutaja õigused ja paigaldatakse phalanx2 rootkit.


Root kasutajaks ei saa kui kasutajal ei ole õigust root kasutajaks saada ja mõistlik oleks kinni keerata ruuduna sisselogimine üle ssh. Miks suuremal osal Linuxitest on see lubatud minu mõistus küll ei võta- BSD-del pead enne sisse logima tavakasutajana ja alles siis kasutama kas sudo-t või su-d, kui kasutaja on muidugi wheel gruppi lisatud.

Viimastel päevadel on minu serverite vastu tehtud massiliselt rünnakuid, võibolla see ongi seotud selle sertifikaadi jamaga?

Kood:
Aug 27 14:03:02 kala sshd[28777]: Invalid user Schueler from 88.199.28.3
Aug 27 14:03:02 kala sshd[28777]: error: PAM: authentication error for illegal user Schueler from 88-199-28-3.tktelekom.pl
Aug 27 14:03:02 kala sshd[28777]: Failed keyboard-interactive/pam for invalid user Schueler from 88.199.28.3 port 1814 ssh2


Aitab hosts.allow wrapper- näide mysql-i nurjunud rünnakust:

Kood:
Aug 27 18:57:14 kala mysqld[1041]: warning: /etc/hosts.allow, line 35: can't verify hostname: getaddrinfo(238-66-112-92.pool.ukrtel.net, AF_INET) failed
Aug 27 18:57:14 kala mysqld[1041]: warning: /etc/hosts.allow, line 35: can't verify hostname: getaddrinfo(238-66-112-92.pool.ukrtel.net, AF_INET) failed


Samuti on kasutusel denyhosts, mis blokeerib brute-force rünnakud, ehk kasutajanimede ja paroolide automaatse proovimise.


midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 28.08.2008, 21:36  postituse pealkiri:  (teema puudub)  

SSH Sertifikaate saab suuremaks teha gnomes näiteks seahorse'ga. Nii kuni ~8000 bitiseks.
Ja denyhosts peaks olema kohustuslik.




Viimati muutis midnight 02.09.2008, 12:59; muudetud 1 kord
illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 28.08.2008, 23:07  postituse pealkiri:  (teema puudub)  

esimesena muutke oma default port ära ja iptablesiga 22 drop ja vuolaa oletegi lahi sellest jamast

ja miskiseid mõtteid veelgi sellel teemal
http://www.trustix.org/wiki/index.php/Securing_SSH

_________________
https://www.inlink.ee

co
Pingviini aktivist
Pingviini aktivist



Liitunud: 19.10.2006
Postitused: 106
Asukoht: KO38KA
Distributsioon: Slackware
estonia.gif
postituspostitatud: 29.08.2008, 13:15  postituse pealkiri:  (teema puudub)  

Võimalus tõrjuda mitte "omi" on ka host.allow ja host.deny võimaluste kasutamine.


illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 29.08.2008, 13:47  postituse pealkiri:  (teema puudub)  

omasid ei tõrju kui on port teada ja kõigil niikuinii ssh accessi vaja pole

_________________
https://www.inlink.ee

co
Pingviini aktivist
Pingviini aktivist



Liitunud: 19.10.2006
Postitused: 106
Asukoht: KO38KA
Distributsioon: Slackware
estonia.gif
postituspostitatud: 29.08.2008, 13:57  postituse pealkiri:  (teema puudub)  

Mul sõna seade vääratas." Mitte "omi"" all ma mõtlesin võõraid.


midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 29.08.2008, 20:59  postituse pealkiri:  (teema puudub)  

See 22 pordi muutmine teeb asja päris igavaks. Mina jätsin samaks.

Lihtsalt suurendasin algoritmi ja kontrollisin denyhostsi korrasolekut.




Viimati muutis midnight 24.09.2008, 20:16; muudetud 1 kord
illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 29.08.2008, 21:12  postituse pealkiri:  (teema puudub)  

midnight kirjutas:
See 22 pordi muutmine teeb asja päris igavaks

jep seda ta teeb, kuid production serveril see just esmatähtis Wink


midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 02.09.2008, 13:04  postituse pealkiri:  (teema puudub)  

antik2'l on õigus linuxi ssh serveril ei ole vaikimisi rooti logimine keelatud!!
Ja port 22 võib olla kui kasutate denyhost'si ning root logimine on ssh's keelatud.
Lisaks võib ka ruuteris pingidele vastamine ära keelata.


Cancer
Pingviini kasutaja
Pingviini kasutaja


Vanus: 48
Liitunud: 14.10.2007
Postitused: 76

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 16.09.2008, 19:41  postituse pealkiri:  (teema puudub)  

Hmmm. Mul siin Ubuntu 8.04 küll ei lase root kasutajat sisse logida. Ei mäleta, et oleks ise midagi teistmoodi seadistanud. Rolling Eyes

Kood:
login as: root
root@192.168.1.140's password:
Access denied


wk
Vana Pingviin
Vana Pingviin



Liitunud: 24.10.2007
Postitused: 1133
Asukoht: Tallinn, vahel Vastseliina vald
Distributsioon: Debian, Kubuntu
estonia.gif
postituspostitatud: 16.09.2008, 20:46  postituse pealkiri:  (teema puudub)  

Oled root-kasutajale parooli kehtestanud? Vaikimisi on *buntudes root-kasutajale parool kehtestamata ja siis ei saa root-kasutajana otse sisse logida ei konsoolist ega kaugühenduse kaudu. /etc/ssh/sshd_config-is on PermitRootLogin ikka "yes". Kehtesta root-kasutajale parool ja proovi siis.

_________________
Kõike hääd,
WK

Cancer
Pingviini kasutaja
Pingviini kasutaja


Vanus: 48
Liitunud: 14.10.2007
Postitused: 76

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 16.09.2008, 22:04  postituse pealkiri:  (teema puudub)  

Ei ole jah määranud. Pole nagu olnud vajadust määrata. Sudo ning sudo su 'ga olen siiani kõik vajaliku ära teha saanud. Kuskilt muidu meenub jah, et root pass *buntudes määramata. Nii, et kuniks /etc/ssh/sshd_config-is PermitRootLogin "yes" märgitud on, on pidev oht, et kogemata võib ssh kaudu root kasutajale pääsu anda. Seda siis root kasutajale salasõna määramisega.


wk
Vana Pingviin
Vana Pingviin



Liitunud: 24.10.2007
Postitused: 1133
Asukoht: Tallinn, vahel Vastseliina vald
Distributsioon: Debian, Kubuntu
estonia.gif
postituspostitatud: 17.09.2008, 09:20  postituse pealkiri:  (teema puudub)  

Päris nii lihtne see õnneks siiski ka pole, root-parooli määramiseks peab kasutaja saama kõigepealt ennast root-kasutajaks ja alles siis saab root-parooli kehtestada.

_________________
Kõike hääd,
WK

urmas
Pingviini kasutaja
Pingviini kasutaja


Vanus: 45
Liitunud: 25.07.2006
Postitused: 92
Asukoht: Tartu
Distributsioon: Gentoo
estonia.gif
postituspostitatud: 17.09.2008, 11:34  postituse pealkiri:  (teema puudub)  

Kui port 22 äramuutmine väga vinge turvatunde annab, siis jäta parem muutmata...


hr.john
Pingviini aktivist
Pingviini aktivist



Liitunud: 12.06.2006
Postitused: 181
Asukoht: Eesti

kiribati.gif
postituspostitatud: 17.09.2008, 13:26  postituse pealkiri:  (teema puudub)  

urmas kirjutas:
Kui port 22 äramuutmine väga vinge turvatunde annab, siis jäta parem muutmata...

Kui keegi teadlikult sulle rünnakut tahab teha, siis see ei aita, aga igasusgu scriptide vastu aitab küll.


Cancer
Pingviini kasutaja
Pingviini kasutaja


Vanus: 48
Liitunud: 14.10.2007
Postitused: 76

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 17.09.2008, 17:49  postituse pealkiri:  (teema puudub)  

wk kirjutas:
Päris nii lihtne see õnneks siiski ka pole, root-parooli määramiseks peab kasutaja saama kõigepealt ennast root-kasutajaks ja alles siis saab root-parooli kehtestada.

Ma pidasin silmas pigem seda, et kasutaja võib oma tähelepanematusega ise sellise äparduse korraldada.


obundra
Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
estonia.gif
postituspostitatud: 18.09.2008, 13:05  postituse pealkiri:  (teema puudub)  

Lisaks sellele, et root ligipääs on keelatud ja ligi saavad ainult mõned üksikud listis olevad kasutajad, on veel tulemüüris igasuguste skriptidega liginemiskatsete tõrjumiseks mõned sellised read:
Kood:
# 2 ssh sisselogimiskatset 10 minuti jooksul
iptables -I INPUT -p tcp --dport 22 -i $V2LISLIIDES -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i $V2LISLIIDES -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP

# Skannerid 24 tunniks kinni.
iptables -A INPUT -i $V2LISLIIDES -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -i $V2LISLIIDES -m recent --name portscan --rcheck --seconds 86400 -j DROP

# 24 tundi hiljem amnestia
iptables -A INPUT -i $V2LISLIIDES -m recent --name portscan --remove
iptables -A FORWARD -i $V2LISLIIDES -m recent --name portscan --remove

# Skannerite ip logisse kirja.
iptables -A INPUT -i $V2LISLIIDES -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "Portscan:"
iptables -A INPUT -i $V2LISLIIDES -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
iptables -A FORWARD -i $V2LISLIIDES -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "Portscan:"
iptables -A FORWARD -i $V2LISLIIDES -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

_________________
IT teenused

indrek56
Pingviini aktivist
Pingviini aktivist


Vanus: 50
Liitunud: 30.08.2006
Postitused: 282
Asukoht: Tartu
Distributsioon: opensuse
estonia.gif
postituspostitatud: 18.09.2008, 14:06  postituse pealkiri:  (teema puudub)  

see mis siin nüüd koos on, on üks igati asjalik jutt kokku saanud, mis kulub aegajalt ühele ja teisele ära. kas keegi paneks wikisse äkke miski süstematiseeritud jutu. endal hetkel jutt ei jookse nii sujuvalt.
EDIT: ups, artikkel täiesti olemas, aga vikis ei anna otsing sõnaga "ssh" ühtegi tulemust.


illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 18.09.2008, 21:09  postituse pealkiri:  (teema puudub)  

urmas kirjutas:
Kui port 22 äramuutmine väga vinge turvatunde annab, siis jäta parem muutmata...

mis sa sellega öelda tahad?

minu mõte on selles, et see on üks vahend asja turvalisemaks tegemise teel, mitte ainus


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group