Autor |
Sõnum |
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
Kuna erinevaid roboteid tuleb järjest juurde ja nende käsitlemine muutub lihtsamaks, siis soovitan kõigil üle kontrollida oma Linuxi purkide turvalisuse tasemed.
Uurin ise just eilse juhtumi logisid - esialgu midagi hullu näha pole. Sisse saadi pingviini kontosse, kuid see pole isegi mitte wheel grupis - üritatid muidugi erinevaid asju kasutada, kuid jälgi õnnestumisest esialgu veel pole.
Igatahes kuna ma ei saa keelata ssh-d, siis võtsin seal kasutusele karmimad turva meetmed. Kõigil kasutajatel on ssh kasutamine keelatud. kaasa arvatud root. Eraldi kasutaja on loodud ainult ssh jaoks ja tema saab kasutada su-d, et siis oleks võimalik edasi uuendusi jne teha.
Samuti jälgige oma serverite kasutajanimesid, logisid.
Logi uurides avastasin, kuidas täna öösel on taas kolistatud ssh taga robotiga ja erinevaid kasutajanimesid proovitud. IP paistab taas olevat lombi tagune.
|
|
|
|
|
|
|
|
konna
Pingviini aktivist
Vanus: 36
Liitunud: 08.07.2005
Postitused: 119
Asukoht: Tartu
Distributsioon: Ubuntu
|
|
Njah peaks endagi süsteemi ylevaatama. Õnneks on oht suhtkoht väike kuna tcp pordid on kinni ja isegi mitte hea tahtmise juures ei anna mu ssh`d brute forceda.
|
|
|
|
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
krt pea iga öö skännitakse.
Igatahes tõmbasin audiitori ja kui aega saan, siis testin ise sama moodi serveri ära. Igaks juhuks.
|
|
|
|
|
|
|
|
siim
Uus kasutaja
Liitunud: 01.11.2005
Postitused: 13
|
|
no dziises.. mida te põete.. kui kasutada piisavalt pikkasi ja loogikaväliseid paroole, siis võtab brute force nii mõttetult kaua aega, et keegi ei viitsi jamada sellega. las sorgivad. niikaua, kui ssh port on kõigile nähtav ei kao laamendajad kuhugi. eraldi konto ssh kasutamise jaoks tundub natuke kummaline idee 8O kuna see on enamvähem sama ohtlik rünnakule kui iga teine kasutaja va. root
rohkem peaks vist mõtlema meili liikluse krüptimise ja võibolla ka https'i peale
|
|
|
|
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
siim kirjutas: | no dziises.. mida te põete.. kui kasutada piisavalt pikkasi ja loogikaväliseid paroole, siis võtab brute force nii mõttetult kaua aega, et keegi ei viitsi jamada sellega. las sorgivad. niikaua, kui ssh port on kõigile nähtav ei kao laamendajad kuhugi. eraldi konto ssh kasutamise jaoks tundub natuke kummaline idee 8O kuna see on enamvähem sama ohtlik rünnakule kui iga teine kasutaja va. root
rohkem peaks vist mõtlema meili liikluse krüptimise ja võibolla ka https'i peale |
tegu on hoiatusega.
Liiga palju on ssh-ga arvuteid, kus kasutajanimed ja aroolid liiga nõrgad.
Võin küll olla paranoiline, kuid sellegi poolest keelasin serveris ssh logimised ära kõigil, välja arvatud ühel eri kasutajal, kes on wheel grupis. root kasutaja logimise keelasin selle pärast ära, et kui see on juba keelatud, siis ei nähta eriti enam vaeva. Ja paroolid, mida kautan sisaldavad kõik suuri/väikeseid tähti ja numbreid.
|
|
|
|
|
|
|
|
siim
Uus kasutaja
Liitunud: 01.11.2005
Postitused: 13
|
|
spott kirjutas: | siim kirjutas: | no dziises.. mida te põete.. kui kasutada piisavalt pikkasi ja loogikaväliseid paroole, siis võtab brute force nii mõttetult kaua aega, et keegi ei viitsi jamada sellega. las sorgivad. niikaua, kui ssh port on kõigile nähtav ei kao laamendajad kuhugi. eraldi konto ssh kasutamise jaoks tundub natuke kummaline idee 8O kuna see on enamvähem sama ohtlik rünnakule kui iga teine kasutaja va. root
rohkem peaks vist mõtlema meili liikluse krüptimise ja võibolla ka https'i peale |
tegu on hoiatusega.
Liiga palju on ssh-ga arvuteid, kus kasutajanimed ja aroolid liiga nõrgad.
Võin küll olla paranoiline, kuid sellegi poolest keelasin serveris ssh logimised ära kõigil, välja arvatud ühel eri kasutajal, kes on wheel grupis. root kasutaja logimise keelasin selle pärast ära, et kui see on juba keelatud, siis ei nähta eriti enam vaeva. Ja paroolid, mida kautan sisaldavad kõik suuri/väikeseid tähti ja numbreid. |
tubli
ja kui su paroolid on vähemalt 8 sümbolit pikad, siis võid seda pidada juba piisavalt turvaliseks. ütleme nii, et ründajal hakkab igav enne kui ta selle lahti murtud saab.
|
|
|
|
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
tõsta ssh mingi teise pordi peale ja robotid enam ei skänni.
|
|
|
|
|
|
|
|
indrek56
Pingviini aktivist
Vanus: 51
Liitunud: 30.08.2006
Postitused: 282
Asukoht: Tartu
Distributsioon: opensuse
|
|
telnetti ja ssh-d ongi kogu aeg skännitud. endal tehtud seleks eraldi kasutaja, kusjuures kasutajanimi on juba selline, et..
kuskil nägin lebamas skripti mis pärast iga vale passwordi sisestamist tegi järgmise passwordi vastuvõtmise 2x aeglasemaks vms...
peaks uuesti üles kaevama.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
niikaua kui mina olen ssh-ga tegelenud on kogu aeg ssh-d pommitatud, samuti ftp-d ja httpd, aitab portide kinnikeeramine ja sshd turvalisemaks keeramisest..
Kunagi tegin ühe juhendi: http://trustix.org/wiki/index.php/Securing_SSH (mis wiki ümbertõstmisega on kellegi teise omandusse läinud)
Seega
*ssh teise pordi peale
*luba ainult teatud kasutajatel
*kui saad luba ainult teatud ip-lt
*fail passwd delay (või mis iganes see oli) 30 sekundit
*firewalli reeglid kontrolli üle ja kõik ülejaanud mittevajalikud pordid KINDLASTI drop
*paroolid vähemalt 6 sümbolit pikaks ning PEAVAD sisaldama nii numbreid kui ka SuUrI TäHtI
*kasuta authorized keys
Ja muud kunsti ei olegi, ei hakka keegi sind ründama, kui delay on 30 sekundit Võiksite uurida kaua läheb lahtikrüptimisega aega kui parool on 8 sümbolit pikk ning sisaldab kõikki tähti ja numreid va. üÜõÕöÖäÄ, see on ikka väääääääga kauuuaaaa
Pigem tasuks turvata httpdj aeriti php skripte- mille kaudu on palju palju lihtsam passwd kätte saada kui ssh (osadel lehtedel saab ka nii index.php?file=../../../../passwd kusjuures selliseid lehti on ikka väga palju mis teatud muutujana annavad sulle faile kätte)
Tsitaat: | kuskil nägin lebamas skripti mis pärast iga vale passwordi sisestamist tegi järgmise passwordi vastuvõtmise 2x aeglasemaks vms...
peaks uuesti üles kaevama. |
Otsi seda jah, see on päris huvitav, kuigi peab erandi tegema miski ip pealt, mudu logid päev otsa pärast sisse...
|
|
|
|
Viimati muutis illukas 02.11.2006, 21:10; muudetud 1 kord
|
|
|
|
AlienDontBoogie
Pingviini aktivist
Vanus: 44
Liitunud: 07.07.2006
Postitused: 219
Asukoht: Harjumaa
Distributsioon: suse 9.2
|
|
kuidas ma san kindlaks teha kas mind rünnatakse
|
|
|
|
_________________ Teen logosid
Oled hädas mõne asja tegemisega Inkscapes! Ehk saan aidata.
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
AlienDontBoogie kirjutas: | kuidas ma san kindlaks teha kas mind rünnatakse |
Alustama peaks logidest, siis kontrollima uued failid üle, ning failide õigused, ning käimasolevad protsessid, järjekord on erinev, ning kui kahtlus on siis esimese asjana juhe seinast välja
Tsitaat: | Õnneks on oht suhtkoht väike kuna tcp pordid on kinni ja isegi mitte hea tahtmise juures ei anna mu ssh`d brute forceda |
Meetodid on erinevad, kuid kõikke annab korraldada, see et pordid kinni on ei tähenda see seda et sshd- häkkerdada ei anna, egas brute force ei ole ainus moodus sinu paroole kätte saada- paroolid liiguvad ju üle neti kui sa neid sisestad seega siit sulle mõttelõng miks on võimatu täiesti kindlat süsteemi ehitada....
|
|
|
|
|
|
|
|
AlienDontBoogie
Pingviini aktivist
Vanus: 44
Liitunud: 07.07.2006
Postitused: 219
Asukoht: Harjumaa
Distributsioon: suse 9.2
|
|
aga kuidas ma tean, millist logi vaadata ja et kas seal on ikka nii nagu peab
seletus for dummie palun
|
|
|
|
_________________ Teen logosid
Oled hädas mõne asja tegemisega Inkscapes! Ehk saan aidata.
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
kui jookseb näiteks sshd ja tahad teada, kas keegi on üritanud sisse saada, siis 'cat /var/log/messages |grep ssh'
ja kui tulemuseks on midagi taolist:
Nov 2 05:59:46 localhost sshd[17209]: Failed password for root from 124.114.97.6 port 43963 ssh2
Nov 2 05:59:50 localhost sshd[17211]: Failed password for root from 124.114.97.6 port 44130 ssh2
Nov 2 05:59:54 localhost sshd[17213]: Failed password for root from 124.114.97.6 port 44297 ssh2
Nov 2 05:59:58 localhost sshd[17216]: Failed password for root from 124.114.97.6 port 44470 ssh2
Nov 2 06:00:03 localhost sshd[17218]: Failed password for root from 124.114.97.6 port 44640 ssh2
Nov 2 06:00:07 localhost sshd[17262]: Failed password for root from 124.114.97.6 port 44799 ssh2
Nov 2 06:00:11 localhost sshd[17264]: Failed password for root from 124.114.97.6 port 44967 ssh2
Nov 2 06:00:15 localhost sshd[17266]: Failed password for root from 124.114.97.6 port 45143 ssh2
Nov 2 06:00:19 localhost sshd[17269]: Failed password for root from 124.114.97.6 port 45308 ssh2
Nov 2 06:00:24 localhost sshd[17271]: Failed password for root from 124.114.97.6 port 45472 ssh2
Nov 2 06:00:28 localhost sshd[17273]: Failed password for root from 124.114.97.6 port 45635 ssh2
Nov 2 06:00:32 localhost sshd[17275]: Failed password for root from 124.114.97.6 port 45806 ssh2
siis tead, et sind on külastanud robot :P
kui nüüd veel kontrollida graafikult, mis sellel kellaajal toimus, siis võib märgata, et aktiivsus oli päris äge.. http://sander.struktuur.ee/mrtg/newconns.html
|
|
|
|
_________________
Viimati muutis sander85 02.11.2006, 21:40; muudetud 1 kord
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
|
|
AlienDontBoogie
Pingviini aktivist
Vanus: 44
Liitunud: 07.07.2006
Postitused: 219
Asukoht: Harjumaa
Distributsioon: suse 9.2
|
|
kogu list sellises stiilis
Nov 2 02:34:34 linux sshd[4494]: Received signal 15; terminating.
Nov 2 07:26:37 linux sshd[4555]: Server listening on :: port 22.
|
|
|
|
_________________ Teen logosid
Oled hädas mõne asja tegemisega Inkscapes! Ehk saan aidata.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Ma mõtlesin mis valemiga arvutada võimalikke salasõnade variante.....
Kui kasutada ainult väikseid tähti näiteks ja neljakohalist salasõna siis valem peaks olema selline: 32*32*32*32 ja kui lisada suured tähed siis 64*64*64*64
ja veel numbrid niisiis : 73*73*73*73 = 28398241 erinevat varianti ainult neljakohalises salasõnas.
Viiekohalise salasõna puhul on variante juba 2073071593 ja lisada saab veel ka spetsiaalsed märgid @& ja väsitamise meetodit kasutades tundub ulmelisena kuhugi kogemata sisse pääseda.
Muidugi kui salasõna on test või admin siis pole muidugi midagi teha........
Salasõna krüpteeritakse ju serveri avaliku võtmega enne kui üle võrgu saadetakse ja 1024 bitise võtme murdmiseks läheb vaja väga kaua aega ja ressursse.
Ma ei viitsi eriti muretseda selle pärast mul küll serveris rullib iga tund script mis saadab mulle meili kui logis on uued siselogimis katsed.
Vahepeal kasutasin tulemüüris ip aadressi piirangut aga siis avastasin, et ei saa ise vahest sisse.
Pealegi peab sissetungija ka juure salasõna teada saama, et midagi "kasulikku" ära teha.
|
|
|
|
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
johnsmith kirjutas: | Ma mõtlesin mis valemiga arvutada võimalikke salasõnade variante.....
Kui kasutada ainult väikseid tähti näiteks ja neljakohalist salasõna siis valem peaks olema selline: 32*32*32*32 ja kui lisada suured tähed siis 64*64*64*64
ja veel numbrid niisiis : 73*73*73*73 = 28398241 erinevat varianti ainult neljakohalises salasõnas.
Viiekohalise salasõna puhul on variante juba 2073071593 ja lisada saab veel ka spetsiaalsed märgid @& ja väsitamise meetodit kasutades tundub ulmelisena kuhugi kogemata sisse pääseda.
Muidugi kui salasõna on test või admin siis pole muidugi midagi teha........
Salasõna krüpteeritakse ju serveri avaliku võtmega enne kui üle võrgu saadetakse ja 1024 bitise võtme murdmiseks läheb vaja väga kaua aega ja ressursse.
Ma ei viitsi eriti muretseda selle pärast mul küll serveris rullib iga tund script mis saadab mulle meili kui logis on uued siselogimis katsed.
Vahepeal kasutasin tulemüüris ip aadressi piirangut aga siis avastasin, et ei saa ise vahest sisse.
Pealegi peab sissetungija ka juure salasõna teada saama, et midagi "kasulikku" ära teha. |
Denyhosts peaks töötama ka Linuxitega.
|
|
|
|
|
|
|
|
indrek
Vana Pingviin
Vanus: 46
Liitunud: 08.07.2005
Postitused: 412
Asukoht: Tallinn
Distributsioon: Kubuntu
|
|
Töötab jah. Endal kah see tööl peale seda, kui logid omal ajal aktiivset tegevust mu ssh serveri kallal näitama hakkasid. Denyhost võimaldab üsna mugavat konfigureerimist - näiteks kui keegi üritab mõne olematu kasutajana sisse logida, siis pane ta ip kohe kinni, olemasolevat luba viis korda proovida enne ip blokeerimist jne.
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Ma ei olnud kuulnudki sellest, tundub asjalik soft olevat:
http://denyhosts.sourceforge.net/faq.html
Kui oleks suurem serveripark siis kindlasti kasutaks seda.
Praegu ma arvan, et raske salasõna ja "alloweduser" valik sshd.confis on piisav. Mul on enda kirjutatud skript mis parseb logifaile iga tund ja saadab mulle teate kui keegi on ragistanud serveri kallal.
|
|
|
|
|
|
|
|
AlienDontBoogie
Pingviini aktivist
Vanus: 44
Liitunud: 07.07.2006
Postitused: 219
Asukoht: Harjumaa
Distributsioon: suse 9.2
|
|
aga ütelge kas mu edastatud infos on midagi hirmsat?
|
|
|
|
_________________ Teen logosid
Oled hädas mõne asja tegemisega Inkscapes! Ehk saan aidata.
|
|
|
|
|