Autor |
Sõnum |
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
US Computer Emergency Readiness Team (CERT) US-CERT hoiatab, et Linuxi süsteemid on aktiivse rünnaku all, kuna välja on töötatud spetsiaalne skript, mille abil rünnatakse arvuteid, mis kasutavad SSH lihtsamaks ühenduseks turvasertifikaate. Juhul, kui süsteemi on sisse pääsetud, siis võetakse endale root kasutaja õigused ja paigaldatakse phalanx2 rootkit.
Kasutajatel soovitatakse üle vaadata oma süsteemide SSH sertifikaadid ja nende salasõnad. Sest arvatavasti põhineb antud rünnak Debiani hiljuti avastatud SSH sertifikaatide genereerimise veal.
Allikas Tectonic
|
|
|
|
_________________ Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
spott kirjutas: | Juhul, kui süsteemi on sisse pääsetud, siis võetakse endale root kasutaja õigused ja paigaldatakse phalanx2 rootkit. |
Root kasutajaks ei saa kui kasutajal ei ole õigust root kasutajaks saada ja mõistlik oleks kinni keerata ruuduna sisselogimine üle ssh. Miks suuremal osal Linuxitest on see lubatud minu mõistus küll ei võta- BSD-del pead enne sisse logima tavakasutajana ja alles siis kasutama kas sudo-t või su-d, kui kasutaja on muidugi wheel gruppi lisatud.
Viimastel päevadel on minu serverite vastu tehtud massiliselt rünnakuid, võibolla see ongi seotud selle sertifikaadi jamaga?
Kood: | Aug 27 14:03:02 kala sshd[28777]: Invalid user Schueler from 88.199.28.3
Aug 27 14:03:02 kala sshd[28777]: error: PAM: authentication error for illegal user Schueler from 88-199-28-3.tktelekom.pl
Aug 27 14:03:02 kala sshd[28777]: Failed keyboard-interactive/pam for invalid user Schueler from 88.199.28.3 port 1814 ssh2 |
Aitab hosts.allow wrapper- näide mysql-i nurjunud rünnakust:
Kood: | Aug 27 18:57:14 kala mysqld[1041]: warning: /etc/hosts.allow, line 35: can't verify hostname: getaddrinfo(238-66-112-92.pool.ukrtel.net, AF_INET) failed
Aug 27 18:57:14 kala mysqld[1041]: warning: /etc/hosts.allow, line 35: can't verify hostname: getaddrinfo(238-66-112-92.pool.ukrtel.net, AF_INET) failed |
Samuti on kasutusel denyhosts, mis blokeerib brute-force rünnakud, ehk kasutajanimede ja paroolide automaatse proovimise.
|
|
|
|
|
|
|
|
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
SSH Sertifikaate saab suuremaks teha gnomes näiteks seahorse'ga. Nii kuni ~8000 bitiseks.
Ja denyhosts peaks olema kohustuslik.
|
|
|
|
Viimati muutis midnight 02.09.2008, 12:59; muudetud 1 kord
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
|
|
co
Pingviini aktivist
Liitunud: 19.10.2006
Postitused: 106
Asukoht: KO38KA
Distributsioon: Slackware
|
|
Võimalus tõrjuda mitte "omi" on ka host.allow ja host.deny võimaluste kasutamine.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
omasid ei tõrju kui on port teada ja kõigil niikuinii ssh accessi vaja pole
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
co
Pingviini aktivist
Liitunud: 19.10.2006
Postitused: 106
Asukoht: KO38KA
Distributsioon: Slackware
|
|
Mul sõna seade vääratas." Mitte "omi"" all ma mõtlesin võõraid.
|
|
|
|
|
|
|
|
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
See 22 pordi muutmine teeb asja päris igavaks. Mina jätsin samaks.
Lihtsalt suurendasin algoritmi ja kontrollisin denyhostsi korrasolekut.
|
|
|
|
Viimati muutis midnight 24.09.2008, 20:16; muudetud 1 kord
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
midnight kirjutas: | See 22 pordi muutmine teeb asja päris igavaks |
jep seda ta teeb, kuid production serveril see just esmatähtis
|
|
|
|
|
|
|
|
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
antik2'l on õigus linuxi ssh serveril ei ole vaikimisi rooti logimine keelatud!!
Ja port 22 võib olla kui kasutate denyhost'si ning root logimine on ssh's keelatud.
Lisaks võib ka ruuteris pingidele vastamine ära keelata.
|
|
|
|
|
|
|
|
Cancer
Pingviini kasutaja
Vanus: 49
Liitunud: 14.10.2007
Postitused: 76
Distributsioon: Ubuntu
|
|
Hmmm. Mul siin Ubuntu 8.04 küll ei lase root kasutajat sisse logida. Ei mäleta, et oleks ise midagi teistmoodi seadistanud.
|
|
|
|
|
|
|
|
wk
Vana Pingviin
Liitunud: 24.10.2007
Postitused: 1133
Asukoht: Tallinn, vahel Vastseliina vald
Distributsioon: Debian, Kubuntu
|
|
Oled root-kasutajale parooli kehtestanud? Vaikimisi on *buntudes root-kasutajale parool kehtestamata ja siis ei saa root-kasutajana otse sisse logida ei konsoolist ega kaugühenduse kaudu. /etc/ssh/sshd_config-is on PermitRootLogin ikka "yes". Kehtesta root-kasutajale parool ja proovi siis.
|
|
|
|
_________________ Kõike hääd,
WK
|
|
|
|
Cancer
Pingviini kasutaja
Vanus: 49
Liitunud: 14.10.2007
Postitused: 76
Distributsioon: Ubuntu
|
|
Ei ole jah määranud. Pole nagu olnud vajadust määrata. Sudo ning sudo su 'ga olen siiani kõik vajaliku ära teha saanud. Kuskilt muidu meenub jah, et root pass *buntudes määramata. Nii, et kuniks /etc/ssh/sshd_config-is PermitRootLogin "yes" märgitud on, on pidev oht, et kogemata võib ssh kaudu root kasutajale pääsu anda. Seda siis root kasutajale salasõna määramisega.
|
|
|
|
|
|
|
|
wk
Vana Pingviin
Liitunud: 24.10.2007
Postitused: 1133
Asukoht: Tallinn, vahel Vastseliina vald
Distributsioon: Debian, Kubuntu
|
|
Päris nii lihtne see õnneks siiski ka pole, root-parooli määramiseks peab kasutaja saama kõigepealt ennast root-kasutajaks ja alles siis saab root-parooli kehtestada.
|
|
|
|
_________________ Kõike hääd,
WK
|
|
|
|
urmas
Pingviini kasutaja
Vanus: 46
Liitunud: 25.07.2006
Postitused: 92
Asukoht: Tartu
Distributsioon: Gentoo
|
|
Kui port 22 äramuutmine väga vinge turvatunde annab, siis jäta parem muutmata...
|
|
|
|
|
|
|
|
hr.john
Pingviini aktivist
Liitunud: 12.06.2006
Postitused: 181
Asukoht: Eesti
|
|
urmas kirjutas: | Kui port 22 äramuutmine väga vinge turvatunde annab, siis jäta parem muutmata... |
Kui keegi teadlikult sulle rünnakut tahab teha, siis see ei aita, aga igasusgu scriptide vastu aitab küll.
|
|
|
|
|
|
|
|
Cancer
Pingviini kasutaja
Vanus: 49
Liitunud: 14.10.2007
Postitused: 76
Distributsioon: Ubuntu
|
|
wk kirjutas: | Päris nii lihtne see õnneks siiski ka pole, root-parooli määramiseks peab kasutaja saama kõigepealt ennast root-kasutajaks ja alles siis saab root-parooli kehtestada. |
Ma pidasin silmas pigem seda, et kasutaja võib oma tähelepanematusega ise sellise äparduse korraldada.
|
|
|
|
|
|
|
|
obundra
Vana Pingviin
Vanus: 50
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
Lisaks sellele, et root ligipääs on keelatud ja ligi saavad ainult mõned üksikud listis olevad kasutajad, on veel tulemüüris igasuguste skriptidega liginemiskatsete tõrjumiseks mõned sellised read:
Kood: | # 2 ssh sisselogimiskatset 10 minuti jooksul
iptables -I INPUT -p tcp --dport 22 -i $V2LISLIIDES -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i $V2LISLIIDES -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP
# Skannerid 24 tunniks kinni.
iptables -A INPUT -i $V2LISLIIDES -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -i $V2LISLIIDES -m recent --name portscan --rcheck --seconds 86400 -j DROP
# 24 tundi hiljem amnestia
iptables -A INPUT -i $V2LISLIIDES -m recent --name portscan --remove
iptables -A FORWARD -i $V2LISLIIDES -m recent --name portscan --remove
# Skannerite ip logisse kirja.
iptables -A INPUT -i $V2LISLIIDES -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "Portscan:"
iptables -A INPUT -i $V2LISLIIDES -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
iptables -A FORWARD -i $V2LISLIIDES -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "Portscan:"
iptables -A FORWARD -i $V2LISLIIDES -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP |
|
|
|
|
_________________ IT teenused
|
|
|
|
indrek56
Pingviini aktivist
Vanus: 51
Liitunud: 30.08.2006
Postitused: 282
Asukoht: Tartu
Distributsioon: opensuse
|
|
see mis siin nüüd koos on, on üks igati asjalik jutt kokku saanud, mis kulub aegajalt ühele ja teisele ära. kas keegi paneks wikisse äkke miski süstematiseeritud jutu. endal hetkel jutt ei jookse nii sujuvalt.
EDIT: ups, artikkel täiesti olemas, aga vikis ei anna otsing sõnaga "ssh" ühtegi tulemust.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
urmas kirjutas: | Kui port 22 äramuutmine väga vinge turvatunde annab, siis jäta parem muutmata... |
mis sa sellega öelda tahad?
minu mõte on selles, et see on üks vahend asja turvalisemaks tegemise teel, mitte ainus
|
|
|
|
|
|
|
|
|