És ami a legsúlyosabb: a legutóbbi próbálkozó egy nagyobb Szaud-arábiai Telekom cég. Ez már tényleg a szégyen kategória.
- carlcolt blogja
- A hozzászóláshoz be kell jelentkezni
- 3975 megtekintés
Hozzászólások
"a legutóbbi próbálkozó egy nagyobb Szaud-arábiai Telekom cég" - pontosabban egy olyan IP, ami hozzájuk tartozik. Egyébként meg a nagyvilág felé nyitott ssh-n valami OTP-t (pölö opie) tessen használni, és öröm meg bódottá van :)
- A hozzászóláshoz be kell jelentkezni
"OTP-t (pölö opie)"
Vágom, de ez annyira nem kritikus. Ha üzemeltető lennék, valószínűleg erősen élnék ilyenekkel, de ez csak egy egyszerű asztali gép.
- A hozzászóláshoz be kell jelentkezni
Nehogy meglepetés legyen ebből a nagy profizmusból (fail2ban).
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ez nem egy kritikus rendszer, tulajdonképpen csak egy asztali gép, szenvedhetnék itt is ssh key-es megoldással, de minek? Ahhoz elég ez, hogy ne legyen átjáróház.
A fail2ban-t meg nem tartom profizmusnak, sőt, alapvetőnek tartanám, pont azért furcsállom nemüzemeltetőként, hogy sokan ennyire se képesek (de sajnos még kevesebbre se).
- A hozzászóláshoz be kell jelentkezni
Én nem teszek nyitott SSH portot publikba. Pont. Az meg, hogy kiemelted a sajtkészítőket, nevetséges.
Lazán kapcsolódik:
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ja. Telnettel mész, mi...? Vagy a szenvedések/n+1 szoftverkomponens fellapátolása helyett csinál(tat)sz vpn-t, aztán csak onnan :-P
- A hozzászóláshoz be kell jelentkezni
SSH-n, fix IP-ről. Lehetőleg kulccsal. Vagy ha nincs fix IP, akkor van egy darab gép fix IP-vel, nem default porton SSH, kulcsos bejelentkezés. Aztán
ssh user@gep -L <port>:ahova.kell:<ssh_port>
majd
ssh user@localhost -p <port>
Nem ördöngösség ez.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Kár, hogy 2013-ban sincs socks proxy.
- A hozzászóláshoz be kell jelentkezni
Mi a szenvedés a kulcsos ssh-val?
- A hozzászóláshoz be kell jelentkezni
+1, erre én is kíváncsi lennék.
- A hozzászóláshoz be kell jelentkezni
Egy kiadós buli után nehéz vele beletalálni a zárba :)
- A hozzászóláshoz be kell jelentkezni
Igazából semmi, csak "kenyelmetlen", foleg hogy olyan gepbol is van hogy be kell sshznom, ahol le van tiltva a mass storage, emailben meg nem akarok iylesmit kuldozgetni. Erre a kis bohocasztalra boven eleg a jelszavas vedelem.
- A hozzászóláshoz be kell jelentkezni
SSH-t 22-es porton üzemeltetni ősi román szokás :)
SSH-t nem kulcs alapú autentikációval használni ősi szlov... ja az nincs, szóval ősi ukrán szokás. :)
...és ha ezt a kettőt megléped, akkor már semmi szükség a fail2ban-ra:) Legalábbis én nem használom és nyugodtan alszom, nincsen tele a log próbálkozóval és öröm és bódottság van. (persze kopp-koppp-koppp háromszor is, mert sosem lehet tudni)
- A hozzászóláshoz be kell jelentkezni
...így van. ;):) ...bár én nem használom.
- A hozzászóláshoz be kell jelentkezni
ALulról kopogtatod az asztalt? :)
- A hozzászóláshoz be kell jelentkezni
Így van, ez már ilyen expert biztonsági megoldás :);)
- A hozzászóláshoz be kell jelentkezni
És bal kézzel, háromszor :)
- A hozzászóláshoz be kell jelentkezni
Nos úgy látom te is végezhetsz már sec auditot, hisz velem együtt már a legnagyobb tudás birtokában vagy ami biztonság terén elérhető. :) ...na és persze qrvára reménykedni. :);)
- A hozzászóláshoz be kell jelentkezni
Szerintem pont nem standard porton van szukseg fail2ban-re.
22-es porton altalaban bot probalkozik, nagy IP tartomanyt scannel -> nem igazan akarok tudni rola, kivalt nem whois-t olvasni naponta 10-20-100szor.
De ha nem standard porton probalkozik valaki , az mar vette a faradsagot hogy kideritse az ssh port-ot, szoval az figyelmet erdemel
- A hozzászóláshoz be kell jelentkezni
Ez tulajdonképp nem ütközik azzal amit én írtam és akár megérthető is, hogy miért akarsz tudni róla.
Nekem inkább kulcs van mint user+passwd így aztán ha meg is találja, jó esetben sokra nem megy vele.
....ha mégis, azt legkésőbb másnap hajnalban úgy is látom a logcheck méljéből, rosszabb esetben az integrit-éből vagy ezen levelek hiányából. :);)
- A hozzászóláshoz be kell jelentkezni
Nem arra gondoltam hogy sokra megy vele, csak ilyenkor esetleg tobb figyelmet forditok mas pl apache logokra.
Sajna sokszor a kulombozo php scriptek folott nincs akkora jogosultsagunk mint szeretnenk.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
http://www.rutschle.net/tech/sslh.shtml
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)
- A hozzászóláshoz be kell jelentkezni
visszatetted, de minek. na mindegy, te tudod.
by the way, mar 3 probalkozot? az nem semmi. volt olyan gepem kinn publikba ahol eleinte napi minimum 200 event volt logba portonkent, hamar lecsereltem fail2bant hatekonyabb modszerre.
- A hozzászóláshoz be kell jelentkezni
Próbának tettem vissza. :)
- A hozzászóláshoz be kell jelentkezni
linelord szabad tudni mi az hatékonyabb módszer?
- A hozzászóláshoz be kell jelentkezni
Az egyedüli balhét admin az egész történetben te vagy :)
- A hozzászóláshoz be kell jelentkezni
PermitRootLogin without-password
Ez pont ugyanolyan hatekony vedelem, megis, ha kell, kulccsal be tud a root lepni, Ez kiemelten hasznos peldaul aktiv backup fejlesztesenel (rsnapshot, rdiff-backup es tsai), amikor a backup szoftvernek muszaj rootkent belepni a gepre, hogy lehessen backupolni. (Szemben a passziv backuppal, amikor is a gepek onmaguk kuldik a mentendo anyagot el a backup szervernek)
Egyebkent a nem-standard porti SSH-nak en is nagy baratja vagyok, figyelhet egy a standard porton (ugye egyidoben nem csak egy sshd futhat), de csak a belso halo fele, esetleg meghatarozott kulso IP-k fele, oszt ennyi.
OTP megoldas tekinteteben pedig a google-authenticator nyujt kenyelmes es gyorsan beloheto szolgaltatast. Kliense pedig szinte minden fontosabb platformra van.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
A szokványostól eltérő porton futó SSH-val akkor van baj, ha olyan hálózatról kell elérned, ahol van kimenő csomagszűrés. Futottam már bele ilyenbe.
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)
- A hozzászóláshoz be kell jelentkezni
Ezért jó, ha mindenhol te vagy a gazda :) Ez az egyik módszerem, a másik meg netbook a mobilnettel. :)
- A hozzászóláshoz be kell jelentkezni
Altalaban az ilyen helyeken viszont fix az IP.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
Meg az, hogy sok értelme nincs azon kívül, hogy egyelőre kevesebb logbejegyzés keletkezik. De már próbálkoznak alternatív portokon is.
Nem szeretem a nem standard porton futó ssh szervereket :)
- A hozzászóláshoz be kell jelentkezni
azert egy egyszerubb sudo kezelessel lehet am menteni normal usernek is... :)
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
Igen, csak a sudoval is rengeteg problema van, akkor mar inkabb a passwordless root login.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
ha valasztanom kene a ssh accepted root vs. sudoer rsync közül, az utobbit valasztanam...
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
+1. A sudo jó dolog, ssh jó dolog, a kettő együtt teljesen jó dolog :-)
- A hozzászóláshoz be kell jelentkezni
Azt tudtad, hogy AllowUsers -ben hostot is meg lehet adni? Tehat a root@10.0.0.1 azt jelenti, hogy a root csak innen lephet be. Meg kulccsal is.
Nem meggyozni akarlak, csak FYI.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
ismerem, van ahol használom is, igazan fasza a rsync@x.x.x.x lenne ugye...
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni