SSH útoky

[Corsair]

Ahoj,
už asi 3 dny mne neustále probíhá zřejmě brute force nějakého botnetu na ssh server,
Mám vypnuté ověřování heslem a používám id_dsa_pub klíče.
Protokol ssh 2 a zakázení připojeování jako root.
Možná ještě změnit port ssh.
Chci se zeptata zda-li je to dostačující a nebo to může dotyčný také prolomit.
Heslo mám generované na 10 znaků málá velká písmena a spec znaky.
Pro info přidávám ukázku z logu.

Kód: [Vybrat]

Received disconnect from 27.121.43.159: 11: Bye Bye [preauth]
reverse mapping checking getaddrinfo for 84-235-61-72.static.saudi.net.sa [84.235.61.72] failed - POSSIBLE BREAK-IN ATTEMPT!
Received disconnect from 84.235.61.72: 11: Bye Bye [preauth]Děkuji za případné rady při rozšíření zabezpečení.

Ještě jsem nasadil toto což mě přijde hodně užitečné.

Kód: [Vybrat]

https://www.digitalocean.com/community/articles/how-to-protect-ssh-with-fail2ban-on-ubuntu-12-04

[Tadeáš Pařík]

Od té doby co čas od času změním náhodně port na SSH, tak mám klid. Dřív jsem tam měl taky neúspěšná přihlášení...

[Standa99]

Jiný port je základ (dle mého názoru). Default porty kromě samby nepoužívám nikde. A pro sambu mám povolené jen určité IP adresy (v logu mám denně asi 70 pokusů o připojení). Před 3 lety jsem používal default porty a to jsem se kolikrát nepřihlásil ani na vlastní FTP server.

[Corsair]

Děkuji,
provedu změnu portu ale ještě předtím odzkouším ten ban2log jak se osvědčí jsem zvědavej.
 

[jmp]

nikdy jsem nezkoušel, ale mohlo by to být lepší, než stále čachrovat s porty služeb a provozovat to jinde než na "well known port number"...
https://help.ubuntu.com/community/PortKnocking
případně
https://help.ubuntu.com/community/Fail2ban

[beer]

denyhosts, /etc/hosts.deny, PermitRootLogin, PasswordAuthentication no, /etc/security/access.conf... Nestandardní porty jsou na dvě věci - falešný pocit bezpečí a vyhnutí se jen některým automatizovaným tipům útoků, které zkoušejí jen konkrétní porty.


http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-prakticke-rady-pro-zabezpeceni-ssh
http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-prakticke-rady-pro-zabezpeceni-ssh-1
http://www.root.cz/clanky/blokujte-ssh-utoky-pomoci-denyhosts/

[Corsair]

Tak ten fail2ban koukám že má na debianu nějaké problémy protože mě nefunguje. JEště zkouším tuto změnu.

Kód: [Vybrat]

https://bugs.launchpad.net/ubuntu/+source/fail2ban/+bug/954453

[Standa99]

Hmm, falešné bezpečí. Jednou ten port je otevřený! Myslet si, že budu mlátit zloděje, až mi projde otevřenými dveřmi, je úplně mimo mísu. Restrikce má snad každý vyřešené, důležité je, aby mu nezahltily ten port natolik, protože jinak se tam nepřipojí ani majitel.

[ntz_reloaded]

ja za sebe mohu doporucit nainstalovat geoip a implementovat do filtru .. kdyz zakazes napr. cele rusko, cinu a indii (pokud nepredpokladas, ze se odtamtud budes pripojovat) tak si muzes usetrit potencionalne sposuta starosti ..

[beer]

Hmm, falešné bezpečí. Jednou ten port je otevřený! Myslet si, že budu mlátit zloděje, až mi projde otevřenými dveřmi, je úplně mimo mísu. Restrikce má snad každý vyřešené, důležité je, aby mu nezahltily ten port natolik, protože jinak se tam nepřipojí ani majitel.

„Chceš se vyhnout automatickým útokům na SSH? Dej si ho na vyšší port,“ zněla klasická rada zkušeného mazáka k začátečníkovi. Zdá se ovšem, že to pomalu přestává platit a útočníci začínají zkoušet i další porty. Upozorňuje na to alespoň Peter N. M. Hansteen a dodává, že se to dalo čekat a překvapivé je pouze to, že si toho nevšiml nikdo dřív.

Vysvětlit je to možné dvěma způsoby: uživatelů provozujících SSH na nestandardním portu je poměrně málo a hlavně málokterý správce opravdu sleduje logy, aby si nové aktivity všiml. Hansteen dodává, že přesouvání služeb na jiné porty je nesmysl, protože se rovná prodloužení hesla o dva znaky (bajty), které musí útočník uhádnout. Mnohem efektivnější je nasadit přihlašování pomocí klíčů, které je finálním a navíc pohodlnějším řešením.

http://www.root.cz/zpravicky/ssh-utocnici-zacinaji-zkouset-vyssi-porty/

Osobně mám ssh na standardním portu a dokonce má ta ip adresa i doménové jméno na cz doméně a žádný problém nemám... Mám zakázané přihlašování heslem a denyhosts + nějaká základní pravidla v /etc/hosts.allow a /etc/hosts.deny mi stačí. Jinak souhlasím s NTZ, pokud to dovoluje situace, je možné to udělat ještě důkladněji - přihlašování pouze z povolených adres... Ale blacklist problémových zemí je určitě dobrá věc.

[Corsair]

Tak jsem to udělal nakonec tak že jsem si v iptables nastavil přistup na ssh pouze z adres od kud se připojuji tj. celám moje síť a IP z práce. Jinak mám v notebooku openvpn a z té se připojuji přes ssh. Nicméně geoip vyzkouším vypádá to zajímavě.

[tomaskCZ]

ja za sebe mohu doporucit nainstalovat geoip a implementovat do filtru ....

ntz - jakou metodu s geoip pouzivas  - nasel jsem treba toto 'http://blog.grimneko.de/?p=228' nebo vyuzivat jenom geoip db s host.allow ...
Nejake pekne howto nekde ?

[RNA]

Skutečnost je taková, že na portu 22 jsem měl za týden 5 MB logu. Poté, co jsem změnil port na někam 40000-65000 , tak je naprostý klid.
Dále doporučuji denyhosts.

 

[tomaskCZ]

IMHO každé dílčí opatření trochu pomůže, nicméně přestěhovat port řeší jenom ty největší trotly, viz

Failed password for invalid user alina from 121.14.117.119 port 57722 ssh2
 Failed password for invalid user be from 121.14.117.119 port 58225 ssh2
 Failed password for invalid user plesk from 211.95.76.242 port 46913 ssh2
 Failed password for invalid user last from 211.95.76.242 port 50108 ssh2
 Failed password for invalid user sniff from 211.95.76.242 port 60473 ssh2
 Failed password for invalid user PlcmSpIp from 14.50.53.253 port 38275 ssh2
 Failed password for invalid user pi from 14.50.53.253 port 38276 ssh2
 Failed password for invalid user jack from 14.50.53.253 port 38277 ssh2
 Failed password for invalid user olivia from 14.50.53.253 port 38278 ssh2
 Failed password for invalid user liam from 14.50.53.253 port 38279 ssh2
 Failed password for invalid user lucas from 14.50.53.253 port 38280 ssh2
 Failed password for invalid user mia from 14.50.53.253 port 38281 ssh2
 Failed password for invalid user lukas from 14.50.53.253 port 38282 ssh2
 Failed password for invalid user ananya from 14.50.53.253 port 38283 ssh2
 Failed password for invalid user maria from 14.50.53.253 port 38284 ssh2
 Failed password for invalid user alexandr from 14.50.53.253 port 38285 ssh2
 Failed password for invalid user sofia from 14.50.53.253 port 38286 ssh2

mimochodem co si myslí, že tímto způsobem a hlavně touto rychlostí uhádnout uživatele i heslo 

[Corsair]

Ahoj,
našel jsem program na konfigurovná ní iptables

Kód: [Vybrat]

http://www.fwbuilder.org/Zatím nejpřehlednější co jsem viděl. A zde je i návod jak omezovat ssh připojení např. při zadání 3x spatneho jmena dostane utocnik ban na dobu jakou si urcite treba 24 hodin.

Kód: [Vybrat]

http://www.fwbuilder.org/4.0/docs/users_guide5/block_ssh_attack_using_branch.shtml
Mimochodem používáte někdo FW builder. Pokud ano dejte vědět muzeme si vymenit nejake templaty.

[JS]

Pouzivan na Ubuntu i Debianu k plne spokojenosti fail2ban. Umi vice sluzeb nez jen SSH.

[Corsair]

Jo co jsem o fail2ban četl tak je dobrej, bohužel mne se ho nepovedlo donutit pracovat.

Kód: [Vybrat]

https://bugs.launchpad.net/ubuntu/+source/fail2ban/+bug/954453Dle různých návodů jsem měnil co se dalo ale bez výsledku.

[Corsair]

Když už se to tu načnulo, jak nejlépe rozchodit geoip pro ssh. Tento návod

Kód: [Vybrat]

http://blog.grimneko.de/?p=228se mne zdá celkem dobrej. Pokud máte někdo něco lepšího tak dejte odkaz.

[beer]

Když už se to tu načnulo, jak nejlépe rozchodit geoip pro ssh. Tento návod

Kód: [Vybrat]

http://blog.grimneko.de/?p=228se mne zdá celkem dobrej. Pokud máte někdo něco lepšího tak dejte odkaz.

Já ti nevím, ale ručně něco stahovat a instalovat, když geoip je tuším v repozitářích... Nestačilo by ten první krok přeskočit a nainstalovat geoip z repozitářů a něco nakonfigurovat?

[Corsair]

Dobře, tak já zkusím něco nakonfigurovat