Fail2ban és a balfék adminok

Tegnap visszatettem a 22-es portra az ssh-t, fail2ban be volt lőve de átállítottam azt is, meg végre belőttem, hogy küldjön mailt a whoisról, ha valaki 5x sikertelenül próbálkozik (valószínűleg bruteforce-ol). Nos, tegnap dél óta, azaz 24 óra leforgása alatt már 3 próbálkozót sikerült kivágnia a fail2bannak. Nézem a logokat, és mind a 3 IP root userként próbálkozott.

Tényleg ennyire sok a balfék Linux admin? Tényleg olyan nehéz a /etc/ssh/sshd_config -ban egy "PermitRootLogin no" -t beállítani (ami még mindig édeskevés, de ezt a botot éppen pont kivédi)? Mert ez a bot nyilvánvalóan csak az ilyeneket bírta megfertőzni, még csak nem is az, hogy userként bepróbálkozik és lefuttat egy exploitot (régen láttam olyasmit is, de sosem a saját gépen :P ). És akkor ebbe a legkezdőbb "sudo su"-zó Ubuntu adminok még csak bele sem tartoznak.

És ami a legsúlyosabb: a legutóbbi próbálkozó egy nagyobb Szaud-arábiai Telekom cég. Ez már tényleg a szégyen kategória.

Hozzászólások

"a legutóbbi próbálkozó egy nagyobb Szaud-arábiai Telekom cég" - pontosabban egy olyan IP, ami hozzájuk tartozik. Egyébként meg a nagyvilág felé nyitott ssh-n valami OTP-t (pölö opie) tessen használni, és öröm meg bódottá van :)

Nehogy meglepetés legyen ebből a nagy profizmusból (fail2ban).

--
trey @ gépház

Ez nem egy kritikus rendszer, tulajdonképpen csak egy asztali gép, szenvedhetnék itt is ssh key-es megoldással, de minek? Ahhoz elég ez, hogy ne legyen átjáróház.

A fail2ban-t meg nem tartom profizmusnak, sőt, alapvetőnek tartanám, pont azért furcsállom nemüzemeltetőként, hogy sokan ennyire se képesek (de sajnos még kevesebbre se).

SSH-t 22-es porton üzemeltetni ősi román szokás :)
SSH-t nem kulcs alapú autentikációval használni ősi szlov... ja az nincs, szóval ősi ukrán szokás. :)

...és ha ezt a kettőt megléped, akkor már semmi szükség a fail2ban-ra:) Legalábbis én nem használom és nyugodtan alszom, nincsen tele a log próbálkozóval és öröm és bódottság van. (persze kopp-koppp-koppp háromszor is, mert sosem lehet tudni)

Rózsár Gábor (muszashi)

Szerintem pont nem standard porton van szukseg fail2ban-re.
22-es porton altalaban bot probalkozik, nagy IP tartomanyt scannel -> nem igazan akarok tudni rola, kivalt nem whois-t olvasni naponta 10-20-100szor.
De ha nem standard porton probalkozik valaki , az mar vette a faradsagot hogy kideritse az ssh port-ot, szoval az figyelmet erdemel

Ez tulajdonképp nem ütközik azzal amit én írtam és akár megérthető is, hogy miért akarsz tudni róla.
Nekem inkább kulcs van mint user+passwd így aztán ha meg is találja, jó esetben sokra nem megy vele.
....ha mégis, azt legkésőbb másnap hajnalban úgy is látom a logcheck méljéből, rosszabb esetben az integrit-éből vagy ezen levelek hiányából. :);)

Rózsár Gábor (muszashi)

visszatetted, de minek. na mindegy, te tudod.

by the way, mar 3 probalkozot? az nem semmi. volt olyan gepem kinn publikba ahol eleinte napi minimum 200 event volt logba portonkent, hamar lecsereltem fail2bant hatekonyabb modszerre.

Az egyedüli balhét admin az egész történetben te vagy :)

PermitRootLogin without-password

Ez pont ugyanolyan hatekony vedelem, megis, ha kell, kulccsal be tud a root lepni, Ez kiemelten hasznos peldaul aktiv backup fejlesztesenel (rsnapshot, rdiff-backup es tsai), amikor a backup szoftvernek muszaj rootkent belepni a gepre, hogy lehessen backupolni. (Szemben a passziv backuppal, amikor is a gepek onmaguk kuldik a mentendo anyagot el a backup szervernek)

Egyebkent a nem-standard porti SSH-nak en is nagy baratja vagyok, figyelhet egy a standard porton (ugye egyidoben nem csak egy sshd futhat), de csak a belso halo fele, esetleg meghatarozott kulso IP-k fele, oszt ennyi.

OTP megoldas tekinteteben pedig a google-authenticator nyujt kenyelmes es gyorsan beloheto szolgaltatast. Kliense pedig szinte minden fontosabb platformra van.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal