( SCOPE | 2020. 12. 06., v – 15:40 )

Attól tartok, a probléma az, hogy kedves @locsemege kolega fél a lebukástól, hogy még ennyi év informatikai és/vagy Linux hókuszpókusz után sem volt szándékában kikommentezni a "PasswordAuthentication" sort az sshd_configjában...

Vagy, ami még nagyobb gáz lenne, ha kiderülne, hogy a "prohibit-password"-ot viszont sikerült eltüntetnie a "PermitRootLogin" mellől.

 

De, hogy ennél is (technikailag) relevánsabb legyen eme hozzászólásom, kérdezem:

Mit fog csinálni a kedves kolega akkor, amikor egy hazai botnet cuppan rá a portjára kopogtatni??
(Mert feltörhető/lejárt támogatású/távolkeleti IP-kamerák penetrációjának tekintetében igencsak rosszul állunk e téren.) vagy

Mit fog csinálni, ha egyszer külföldre viszi útja, és rájön, hogy szar dolog az embernek maga alatt vágni a fát??
 

Mert, ha mondjuk egy TV szolgáltató vagy, és valamelyest korlátozni szeretnéd, az adás nézhetőségét a világ egyes tájairól, akkor megértem, hogy van értelme a GEOIP-féle bohóckodásnak, vagy ha egy nagyobb szolgáltató vagy, és mindenképpen szükség van a passwordauth-os ügyfelek kiszolgálására, akkor a fail2ban ssh-ra reszelésének, de azt, hogy a 4-5 biten kifejezhető darabszámú (ráadásul otthoni) felhasználók szintjén miért nem lehet áttérni az ssh, kulcsos használatára, azt nem tudom megérteni!...
 

Abban, viszont maximálisan igazat adok @_Franko_ kolegának, hogy, ha évek múltán, tfh. egy leendő rendszergazda tanonc ránéz erre a topikra, akkor értelmes, és valódi megoldást is lásson, ne csak hamis biztonságérzetet adó félmegoldást.

Éppen ezért a pikánsabb megjegyzéseimet is idebiggyesztem:

Vajon megéri-e a perfomancia-veszteség a SOHO routeren, (fogadjunk, hogy TP-Link), amit az iptables GEOIP modulja okoz számára?
(Mert itt sincsen ingyen a húsleves)

De mondok jobbat is:
Tedd odébb legalább 10 bitnyivel azt a fránya ssh-portot, és meglátod, hogy újabb hónapokra békén hagynak.
(saját tapasztalat)