Mire figyelj, ha SSH-t használsz és hogyan tedd az SSH szervert még biztonságosabbá? - ingyenes, online képzés

 ( slapic | 2017. május 15., hétfő - 20:44 )

Az SSH a Linux rendszergazda mindennapi eszköze. A célja a biztonságos távoli kapcsolat. De a valós biztonsághoz egyrészt ismerned és értened kell pár alapvető dolgot. Ezek nélkül az SSH maximum hamis biztonságérzetet nyújt. Másrészt van pár extra, ami segít az SSH szerver biztonságának jelentős növelésében.

A DevOps Akadémia május 18-i ingyenes, online képzésén ezeket tanulod meg. Jelentkezni a DevOps Akadémia weboldalán tudsz.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

tedát másik protra
csakakeyauth!
neverroot!!!
chmdo 550 az /usr/bin/ssh-ra, ez NAGYON fotnoS!

Szuper!
Hova utalhatom a képzés árát? :)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

hwsw-nek légyszi, minden best practice-t a hupkóról tanultam

Annyit még hozzátennék, hogy én az eldugott ssh portot kiegészítem mindenhol azzal, hogy a 22-es porton viszont trap van, aki oda csatlakozik, azt minden szolgáltatástól eltiltja a tűzfal.

--
Rózsár Gábor (muszashi)

Ezt leírnád, hogyan oldod meg?

"Az atombombát és a C vitamint is a Magyarok találták fel...
Mindkettőből elég, napi 500 mg. - by Bödőcs Tibor"

Mi a baj a kutyám nevével???
K4HVD-Q9TJ9-6CRX9-C9G68-RQ2D3

imho fail2ban-nal...

Nem, ezt nem a szerveren oldom meg. Gyakorlatilag a szerverek 90%-a mindent csinál nálam (tipikus KKV) befelé is azon keresztül megy a net sok minden eléggé korlátozva, szóval van már így is elég bonyolult iptables szabály rendszer, így az ilyen extra dolgokat inkább az elé rakott routeren oldom meg.
Szinte mindenhol Mikrotik van, ott meg igen könnyű ezt megoldani Valahol a legeleje környékén van egy szabály, ami minden kapcsolódást tilt a listán szereplő címekről, lejjebb meg van egy másik szabály, hogy ha a 22-es portra csatlakozik valaki, akkor felkerül a listára. Szóval kettő sor az egész.

--
Rózsár Gábor (muszashi)

Ma is tanultam valamit :)

----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

És hány legitim user telefonál naponta, hogy csatlakozni próbálnak, de nem sikerül és utána ráadásul elérhetetlenné válik minden más szolgáltatás?

0 db

Miért kéne legitim usernek elérnie az ssh-t? Semmi közük hozzá. Legitim user kintről csak imap/smtp és a webes csoportmunkával meg vpn-el kell foglalkozzon esetleg eldugott rdp-vel. Bentről meg a fentieken túl samba és squid, ntp amivel találkozik. Az ssh csak az enyém.

--
Rózsár Gábor (muszashi)

Ja értem. Akkor próbáld ezt most egy GitHub-szerű szolgáltatásnál elképzelni, ahol minden usernek egyúttal ssh elérése is van.

Más ügyfélkör, más szokások. Nekem nem fejlesztők az ügyfeleim, hanem "normális emberek". :)
Egyébként ebben az esetben sem látom olyan marha nagy kihívásnak az ssh -p 45634 használatát, ha már a Hello Word megy. :D

Komolyra fordítva, ha ebből egyébként érezhető gond lenne, akkor feltehetően változtatnék az alkalmazott megoldáson. Thomas Highway szavai csengnek a fülemben (szigorúan a Koncz Gábor féle szinkronnal, a másik szar): "Alkalmazkodás, leküzdés"

--
Rózsár Gábor (muszashi)

Te hoztál egy végletet ("ssh csak az enyém"), én meg erre hoztam példának egy másikat ("ssh mindenkié"), de a kettő között van egy elég nagy átmenet, ahol akár "normál emberek" is használják az ssh-t. Pl. FTP helyett. Ilyenkor egy ilyen trap+tűzfalazás nem biztonsági megoldás, hanem önszivatás. Ha pedig hozzáveszem, hogy rossz trap alkalmazásánál akár saját magadat is kizárhatod, akkor különösen... (Pl. mi van, ha valamelyik random felhasználódat, vagy akár téged egy olyan weboldalra irányítanak - vagy emaillel kínálnak meg -, amely beágyazott hivatkozásként a szervered 22-es portjára hivatkozik. Onnantól ki van zárva a usered, meg te is. Persze tudom, ilyenkor szokott jönni, hogy "majd bemegyek másik IP-ről, vagy személyesen konzolról", stb. Ettől még jól látszik, hogy ez nem egy jó biztonsági megoldás).

Ha a trap ráadásul nem 3way-HS alapú, akkor hamisított csomagokkal az egész világ számára elérhetetlenné tehetik a szolgáltatásaidat. Egyszerű DoS lehetőséggel kecsegtető biztonsági hibát hoztál létre egy egyébként nem kritikus problémából.

Mivel a saját ügyfélkörömre kell megoldásokat találnom és ott tipikusan az ssh az enyém, így nálam ez teljesen jól járható megoldás és nálam az ssh az enyém ez tény. Más környezetben más megoldásokat alkalmaznék.
Volt egyébként elenyésző esetben mikor olyan webszerverem is volt, amire a szerkesztő winscp-vel felcsattant, neki se okozott problémát a nem szabványos port. Azóta azt pl WP-re cseréltük, így ott már nem is kell az scp.

Az elmúlt pár évben egyszer zártam ki magam, akkor is azért mert egy másik rendszeren a szabványos porton volt (megörököltem és akkor még frissibe nem konfigoltam át)aztán reflexből csak átírtam az IP-t egy régóta saját rendszerre belépéskor és a port kimaradt. Beléptem mobilnetről azt kiszedtem az IP-m, ennyi nem volt több 2 percnél.

Magát az ssh-t nem féltem annyira, kulcsos auth stb. Ellenben akik az ssh-t babrálják azok egy része feltehető a többi szolgáltatást is szeretnék babrálni. Na igazából ezzel a többi szolgáltatást is részben tehermentesítem, mert az ssh szkirptelők utána már nem piszkálják pl az imapot. :) ...max másik ipről.:)

Minek van több esélye? A megszokott napi pár ezer scriptelőnek vagy egy általad felvázolt támadásnak, ahol a júzereimet vagy engem a 22-es portra irányítanak? Természetesen nem nulla az esélye ennek, de pár nagyságrenddel kisebb, mint az egyéb megszokott támadásoknak. Nekem a valószínűbb lehetőség ellen kell védekeznem, ha ez esetleg az egészen valószínűtlen támadások esetében hátránnyal járna.

--
Rózsár Gábor (muszashi)

>> Ellenben akik az ssh-t babrálják azok egy része feltehető a többi szolgáltatást is szeretnék babrálni.

Ez manapság leginkább a célirányos támadásoknál lenne igaz, de akkor meg semmit sem ér a tűzfalazásod, mert aki célirányosan téged akar feltörni, az nem fogja ettől feladni és jönni fog másik ip-ről is, ahogy te is tudtál mobilnetről bejelentkezni, amikor kizártad magad (tudtam persze előre, hogy majd kidumálod, hogy ilyenkor sincs gondod :).

Egyébként a józan ész mellett a statisztikáim is azt mutatják, hogy jelenleg abszolút más ip címekről jönnek az automatizált ssh bruteforce és megint másról az smtp bruteforce, szintént másról a random webes hibákat kereső próbálkozások. Szóval ezek a fajta IP cím alapú szűrések és tiltások teljesen hatástalanok.

Az ilyen próbálkozásokat tipikusan hatalmas botnettel végzik és külön-külön zombi gépekről indítják az ssh támadásokat és megint másikról a többi szolgáltatás hibáit kereső szkripteket. Nem egyetlen gépük van és arról próbálkoznak egy ip címen belül ezer portra, hanem pont fordítva. Sok gépük van, amelyekkel szétszórva próbálkoznak és egy adott géppel egy adott szolgáltatást vesznek max. csak célba több helyen. Pl. egyik tört gépről futtatják az ssh brute force scriptjüket random ip tartományra, másikról a wordpress hibákat keresig random tartományban, stb.

Ezek biztos nem aludtak valoszinusegszamitas oran, mint en...

MElyiknek nagyobb az eselye, hogy megnyerje az 5-os lottot, hogyha 10millio ember vesz 1-1 szelvenyt, vagy ha 1 ember vesz 10 millio szelvenyt?

(- mindket esetben osszesen 10 millio szelvenyt vasarolnak
- az egesz 10 millios csoportra nezzuk, hogy van-e talalat. Az egyertelmu, hogy annak az egy embernek nagyobb az eselye, aki onmaga megvette a 10 millio szelvenyt:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Ez ugye akkor igaz, ha mint a 10 millio szelvényen különböző
kombinációkat tesz meg?

persze-persze. Nincs ket egyforma szelveny egyik esetben sem...

Senki se akarna osztozkodni az 5talalatoson....:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Nem szeretem az ilyen bujkálást. Ha valaki célzottan támad, akkor úgyis kitalálja, hogy hol van az ssh, vagyis igazából ezzel nem lehet növelni a biztonságot. Nincs is rá szükség, szerintem az ssh önmagában éppen elég jó. Ha esetleg rosszul tudnám, akkor kérek linkeket ssh-n keresztüli betörések esetleírására.

Amúgy az egyetlen saját kicsiny szerveremen látom, hogy a szótári támadások folyamatosak, eredménytelenek, és teljesen reménytelenek. Úgyhogy nem izgulok különösebben.

--
ulysses.co.hu

Izgulni én sem izgulok, de kb 5 másodperc átírni a konfigot, nem kerül semmibe és egy csomó szórakozó eleve kilőve, nem telik a marhákkal a napló és minek legyen szem előtt az, aminek nem kell szem előtt lennie. Viszont trapnak tökéletes a helye. :)

Egyébként nem csak ezt szoktam eldugni, de mindent ami nem a nagyvilágra tartozik, azaz nem olyasmi ami befolyásolná a működést, mert pl az smtp-t nem lehet máshová rakni :) , de van amit azért igen. Például a céges csoportmunka, amit csak az adott cég dolgozói használnak, nos az szintén nem a 443-on van. Akik használják tudják hogyan érjék el, más meg nem cseszteti feleslegesen a https portot.

Természetesen ez célzott támadás ellen nem véd, ezt senki nem is mondta de az automatizmusok nagy részét ezzel elkerülöm.
Ha pedig elkerülhetem, akkor miért ne tenném meg.

--
Rózsár Gábor (muszashi)

Ez csak addig vicces, amíg a felhasználóid olyan helyen vannak, ahol nincs a kifelé menő csomagokra port alapú szűrés. Jártunk már úgy párszor, hogy a „jaj, titokban elteszem más helyre az SSH-t” szerverre ezért nem lehetett belépni. És a mobilnet sem játszott ott, egyéb okok miatt.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Hát az elmúlt 13 évben, amióta eldugom nem volt még ilyen gondom.

--
Rózsár Gábor (muszashi)

Sajnos én már többször is belefutottam, rém kellemetlen volt.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

A fordítottja már velem is előfordult, azaz az én ügyfelemnél voltak és el akartak érni maguknál magas porton egy szolgáltatást, ami nem ment persze. Telefonáltak és abba az irányba felvettem egy kivételt aztán használhatták is.

--
Rózsár Gábor (muszashi)

Fent van a bankszámlaszáma a home könyvtárában, onnan ki tudod nézni és aztán oda utalni.

Elérése:

ssh

passwd: 123456

:)

--
Rózsár Gábor (muszashi)

Ezen felkacagtam! :D
(És nem mondtál hülyeséget! Tekintve, hogy adott címen az SSH üthető... bár sokkal fájóbb pont, hogy webshop és SSL NÉLKÜL!)

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Tudod mi a vicc? Fogalmam sem volt, hogy van ilyen domain. Megnéztem és mit látok? Egy ismerősé. Bakter kicsi a világ! Szóltam is neki, hogy ez így nem kóser.

--
Rózsár Gábor (muszashi)

Erről eszembe jutott a pár éve nagy vihart kavart Francia bank rendszeres fiaskó, ha jól emlékszem ott 12345678 volt a jelszó :)

Momentán a Kétfarkú Kétfarkas Bertalan Űrközpontnak.

--
Tortilla; A tortilla a spanyol nyelvterületek tradicionális étele! Hagyd már; ABBA!; Droppboksz

Email kuldes minden sikeres loginrol? Szerintem ez is hasznos tud lenni.

--

"You can hide a semi truck in 300 lines of code"

Lehet, hogy nem figyelek eléggé, de én nem hallok ssh-n keresztül történő behatolásokról. Mondjuk tekintsünk el az olyan triviális esetektől, mint az interneten megtalálható kulcs, meg a nyilvánosságra került jelszó.
--
ulysses.co.hu

Azért mert nem hallani róla még létezhet.