Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: matsukan - 22.08.12 - klo:11.59
-
Pitää sshguard:a jotenkin konffata ? Asensin sen ja se daemon lähti käyntiin.
Address 62.76.*.* maps to 62-76-*-*.*.*, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT
-
Brute force attack,
Minua kiinnostaa ohjelma, olen itse valinnut fail2ban ja iptables estämään ssh kautta tulevia yhteys yrityksiä varten.
Onko jotain tiettyä syytä miksi käyttää jotakin muuta kuin fail2ban taikka iptables ohjelmia ssh suojana.
Olen ihan aloittelija palvelimien kanssa, ja minulla kait on tämä palvelu jossain vaiheessa päällä, olenko minä itse suojattuna tarpeeksi hyvin kera fail2ban ja iptables joka tarkistaa mistä ip:stä on.
Olisiko tuo sshguard tarpeen myös minulle ?
---
-
great,
asensin sshguard:n koska guugle löysi sen ensimmäisenä.
fail2ban näyttää olevan vastaava ohjelma joten sitä ei tarvitse kait asentaa jos on asentanut sen.
eroja näyttää olevan siinä että fail2ban on kirjoitettu python:lla ja siten on ehkä turvallisuus/turvattomuus perustuu python omille bugeille ja sshguard on taasen tehty käyttäen C-kieltä.
osaako joku muu kertoa eroista?
-
sshguard,
Liekö tästä mitään ongelmaa, vaikka pitäisin sitten minä myös sshguardin asennettuna.
Minulla olisi sshguard asennuksen jälkeen sitten -
Iptables - portti 22 säädettynä vain kotiip ja palveluntarjoajani ylläpito.
fail2ban - perusasetuksilla.
sshguard - perusasetuksilla.
kiitos keskustelusta, jatkan tästä minäkin säätelyjäni.
Myöskin ensimmäisen viestin kysymys on vielä ilman vastausta, en itse osaa neuvoa, joku toinen voi jatkaa..
---
-
Yksi simppeli tapa vähentää mahdollisuuksia että edes yritetään hyökätä, on vaihtaa ssh porttia. Itsellä on kotiservulla portti xxx22, tulee paljon vähemmän edes koputteluita, kun ssh palvelu sijaitsee jossain harvemmin käytetyssä portissa.
-
Yksi simppeli tapa vähentää mahdollisuuksia että edes yritetään hyökätä, on vaihtaa ssh porttia. Itsellä on kotiservulla portti xxx22, tulee paljon vähemmän edes koputteluita, kun ssh palvelu sijaitsee jossain harvemmin käytetyssä portissa.
Pitääkö tuo portti kertoa jossain myös noille kerberoksille kuten fail2ban?
-
Yksi simppeli tapa vähentää mahdollisuuksia että edes yritetään hyökätä, on vaihtaa ssh porttia. Itsellä on kotiservulla portti xxx22, tulee paljon vähemmän edes koputteluita, kun ssh palvelu sijaitsee jossain harvemmin käytetyssä portissa.
Pitääkö tuo portti kertoa jossain myös noille kerberoksille kuten fail2ban?
Lets take a look at the ssh setting:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
You can enable or disable the monitoring of specific services (ports). The ssh monitoring uses the auth.log file to detect failed
login attempts.http://www.dikant.de/2009/06/19/securing-ssh-server-with-fail2ban/
Ilmeisesti ei tarvitse porttia kertoa, vaan se kattois sen ssh prosessilta.
-
Eikös ssh:n saa konfiguroitua hyväksymään kirjautuminen vain oikealla avaintiedostolla? Jolloin luulisi ainakin salasanan arvailujen tyssäävän siihen.
-
Jep olevan tehnyt sen näin (public/private avaimilla) joten vaikka tietäisi tunnuksen ei pääse koska vaaditaan se että julkinen avain on tallettu serverille.
-
Eikös ssh:n saa konfiguroitua hyväksymään kirjautuminen vain oikealla avaintiedostolla? Jolloin luulisi ainakin salasanan arvailujen tyssäävän siihen.
Itsellä on noin, mutta eihän se arvailu mihinkään vähene ilman fail2bania, se vain on tuloksettomampaa ;)
-
Itsellä on noin, mutta eihän se arvailu mihinkään vähene ilman fail2bania, se vain on tuloksettomampaa Wink
Jos en nyt ihan väärässä ole niin salasanojen arvailu loppuu kun ottaa salasanan kyselyn pois kokonaan siinä vaiheessa kun avaimet on asennettu eli että pääsee vain avaimella, ei salasanalla lainkaan. Tietty avaimiakin voi yrittää arpoa mutta aikalailla toivottomampaa kuin salasanan arvailu. En lainkaan kiellä että lisäsuojana voisi olla hyvä idea lukita automaattisesti ip-osoite jos jostain osoitteesta epäonnistuu toistuvasti.
-
http://www.dikant.de/2009/06/19/securing-ssh-server-with-fail2ban/
Ilmeisesti ei tarvitse porttia kertoa, vaan se kattois sen ssh prosessilta.
Kiitos vinkistä, tuli asennettua tuo omalle Ubuntu NASillekin. Helppo ja nopea asentaa/säätää toimimaan. :)
-
Itsellä on noin, mutta eihän se arvailu mihinkään vähene ilman fail2bania, se vain on tuloksettomampaa Wink
Jos en nyt ihan väärässä ole niin salasanojen arvailu loppuu kun ottaa salasanan kyselyn pois kokonaan siinä vaiheessa kun avaimet on asennettu eli että pääsee vain avaimella, ei salasanalla lainkaan. Tietty avaimiakin voi yrittää arpoa mutta aikalailla toivottomampaa kuin salasanan arvailu. En lainkaan kiellä että lisäsuojana voisi olla hyvä idea lukita automaattisesti ip-osoite jos jostain osoitteesta epäonnistuu toistuvasti.
Itselläni on siis salasana-autentikointi kielletty. Pointti onkin siinä, että ei se arvailu siitä vähene, vaikkei sisään pääsekään edes oikealla salasanalla. Samalla tavalla ne koputtelut nakuttaa lokeihin rivejä.