Sziasztok,
Napok óta különböző IP címekről és mindenféle felhasználói névvel próbálkoznak belépni a szerverünkre. Kezdő rendszergazdaként mit kell ilyenkor tenni:
A gépeket távolról adminisztrálom, nem feltétlen fix IP-ről. Csak az SSH, VPN és HTTP/HTTPS portok vannak nyitva rajta.
Köszi
Attila
- 1197 megtekintés
Hozzászólások
ssh-t attolod más portra mint a 22
tiltod a sokszor próbálkozó ipket így hirtelen ezek jutottak eszembe.
Core2Duo T7100, 4G, Ubuntu 9.04, 2.6.31-rc5
- A hozzászóláshoz be kell jelentkezni
Ha mindenhol eleg eros jelszavaid vannak, es nincsenek trivialis user/pass-u felhasznaloid (test/test, admin/admin, etc), akkor nem kell nagyon aggodni. Ha megis szeretnel valamit tenni, akkor valts kulcsos authentikaciora.
Esetleg ha zavar a zaj a logban, es szeretned szivatni az illetoket, akkor tedd at az ssh portjat, a 22-est meg tarpit-eld.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Ha van vpn, érdemes lehet csak vpn felől engedni az ssh-t. Ha az nem jó, át kell rakni másik portra és békénhagyják. Brute force kísérletek ellen az iptbles limit modulja is jó szolgálatot tehet.
- A hozzászóláshoz be kell jelentkezni
Javaslataim:
- Tedd át az SSH-t valami exotikus portra
- Használj kulcs alapú hitelesítést
- Használj egyszerhasználatos jelszót (OPIE)
- SSH-n csak saját magadat engedd belépni
- Ezek tetszőleges kombinációja ;)
--
Blog: http://sleepy.hu
- A hozzászóláshoz be kell jelentkezni
Megelőztél...:)
"-Pedig vegetariánus vagyok; csak növényevő állatokat fogyasztok!"
azenoldalamponthu
- A hozzászóláshoz be kell jelentkezni
:)
Én ezek kombinációját használom. Győz a paranoia ;)
--
Blog: http://sleepy.hu
- A hozzászóláshoz be kell jelentkezni
Nem paranoia, csak felelős gondolkodás, szerintem.
"-Pedig vegetariánus vagyok; csak növényevő állatokat fogyasztok!"
azenoldalamponthu
- A hozzászóláshoz be kell jelentkezni
Én is így gondolom. :)
--
Blog: http://sleepy.hu
- A hozzászóláshoz be kell jelentkezni
+ rendszeresen frissítsd a rendszered. :)
>>: sys-admin.hu :<<
- A hozzászóláshoz be kell jelentkezni
Hát igen... Ezt természetesnek vettem. :)
--
Blog: http://sleepy.hu
- A hozzászóláshoz be kell jelentkezni
És denyhosts...
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
Én még beleraknék egy AllowUsers direktívát is, + ahogy írták a többiek: másik port, pubkey auth.
"-Pedig vegetariánus vagyok; csak növényevő állatokat fogyasztok!"
azenoldalamponthu
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Az ilyen auto-bannolo cuccoknak egy esetben van ertelmuk: ha annyi probalkozas jon, ami mar a gep mukodokepesseget veszelyezteti (elviszi az osszes cpu-t, megtolti a fs-t, ...). Amig ez nem all fenn, addig teljesen felesleges, es elofordul, hogy tobbet art, mint hasznal.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
ide írtam a kulcs+jelszó+másik port+pár beállításról, később még bővítem, mert így még nem sok
- A hozzászóláshoz be kell jelentkezni
Köszönöm a sok segítséget!
Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"
- A hozzászóláshoz be kell jelentkezni