Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: Mistofelees - 06.05.18 - klo:23.39
-
Onko joku asetus, jolla saisi estettyä koneen reagoimasta mitenkään, kun joku yrittää kirjautua root-tunnuksella ?
Serverin root-salasana on niin pitkä, että forcettamalla portti saattaisi aueta sadassa vuodessa, joten tietoturva ei ole ongelmana, vaan turhat kirjautumisyritykset.
Alkaa harmittaa, kun Kiinasta tulee jatkuvaa pommitusta, joka kuluttaa serverin resursseja aivan turhaan.
Olisi parempi, kun serveri tarkastaisi kirjautuvan käyttäjätunnuksen /etc/passwd:stä eikä vastaisi mitään, ellei nimi ole listalla tai jos olisi kielletty vastaamasta.
Yritin ohjeen mukaan 'faillog -u root -l 360 -m 4'
Tällä ei kuitenkaan ole mitään vaikutusta, /var/auth/log:ssa kirjautumisyrityksiä Huanchosta on silti sekunnin välein.
shellin vaihtamisesta /etc/passwd:ssä ei ole apua. Järjestelmä tekee kuitenkin kaikki kevätjuhlaliikkeensä ja vieläpä sylkäisee ruudulle tiedon järjestelmän tyypistä ja tilasta MOTD:n kautta. Ei tarvitse Kim Ping Pongin tätäkään tietoa kaivella.
/etc/ssh/sshd_confiin kirjoitetut rivit eivät vaikuttaneet mitenkään:
PermitRootLogin no
StrictModes yes
"deluser root" ei viitsi kokeilla, kun ei tiedä menevätkö samalla sudotus-oikeudet.
"usermod -l villevallaton root" ei auta, koska Linux kysyy salasanaa olemattomiltakin käyttäjiltä. Eikä tämä muutenkaan ole hyvä temppu.
Pitäisikö tehdä edustakoneeksi WAN:n ja serverin väliin joku RasPi, joka vain tappaisi turhat kirjautumispyynnöt ja välittäisi SSH-virtaa eteenpäin. Tämäkään ei pienennä WAN:sta tulevaa kirjautumisyritysten myrskyä.
Routerilta on kiellety kaikki turha liikenne. Ainoa auki oleva portti on ssh 22
-
Onko joku asetus, jolla saisi estettyä koneen reagoimasta mitenkään, kun joku yrittää kirjautua root-tunnuksella ?
Lisää /etc/ssh/sshd_config -tiedoston loppuun:
Match User root
PasswordAuthentication no
Routerilta on kiellety kaikki turha liikenne. Ainoa auki oleva portti on ssh 22
Kirjautumisyritysten määrä tippuu tuhannesosaan vaihtamalla SSH:n portti joksikin muuksi välillä 1024--65535.
-
ssh-avaimet käyttöön ja password login pois kokonaan (kuten nm sanoikin jo) niin ei kysele turhia.
-
Kyselyihin nuo asetukset auta paitsi ssh portin uudelleensijoitus.
Root käyttäjällä ei ole tarvetta tuohon root loginiin ssh:n kautta. Sitten voit asentaa fail2ban:n joka bannaa ne jotka yrittävät useasti kirjautua ssh:lla ja epäonnistuvat.
Mikä käyttis sinulla olikaan ?
-
Kyselyihin nuo asetukset auta paitsi ssh portin uudelleensijoitus.
Salasana-autentikoinnin kytkeminen pois päältä auttaa kuitenkin siihen, ettei kirjautumisen käsittely etene PAM-järjestelmän puolelle, joka kuormittaa jonkin verran prosessoria. Sen sijaan sshd katkaisee yhteyden välittömästi.
-
Kiitos ehdotuksista
Perehdyn paremmin kunhan taas ehdin.
Tuo portin siirto ei välttämättä auta, koska nyt Kiinalaiset näyttävät käyvän ensin koko porttiavaruuden läpi ja vasta sitten alkavan skannata löytynyttä SSH-porttia.
Yksi hyvä temppu näyttää olevan se, että pingaa hetken hyökkääjän konetta. Pelästyy ja sulkee yhteyden.
Pitäisi vaan olla joku näppärä temppu, jolla saisi pingin käyntiin, kun joku yrittää SSH:lla. Ei olisi haittaa, vaikka pingattaisiin jokaista sisäänpyrkijää muutamia kertoja.
Pieni porttiscannaus tai jonkun portin kokeilu jollain aivan keksityllä protokollalla voisi myös olla mukava haaste hyökkääjälle.
-
Yksi hyvä temppu näyttää olevan se, että pingaa hetken hyökkääjän konetta. Pelästyy ja sulkee yhteyden.
Pitäisi vaan olla joku näppärä temppu, jolla saisi pingin käyntiin, kun joku yrittää SSH:lla. Ei olisi haittaa, vaikka pingattaisiin jokaista sisäänpyrkijää muutamia kertoja.
Tuollainen porttien skannaus olisi varmaan melko helppo tunnistaa ja sulkea liikenne kyseisestä osoitteesta. Onnistuisikohan iptablesilla? Se pingaussysteemi onnistuu luultavasti ainakin niin, että laitat oman palvelun kuuntelemaan jotain melko satunnaista porttia (tai useampaa) ja jos sieltä tulee kyselyä, niin laitat pingin samaan osoitteeseen. En kyllä ole kokeillut.
Pieni porttiscannaus tai jonkun portin kokeilu jollain aivan keksityllä protokollalla voisi myös olla mukava haaste hyökkääjälle.
Port knocking (https://wiki.archlinux.org/index.php/Port_knocking) on ihan käytössä oleva juttu, mutta tietenkin tuota voi jatkokehittää toivomaasi suuntaan. Jotkut reitittimet muuten osaavat tuon porttien koputtelun perusteella liikenteen sallimisen eli sitä ei tarvitse edes itse toteuttaa välttämättä, jos käyttää sopivaa reititintä välissä.
-
Harmi, etten ole tehnyt tuonkaltaisia porttiskannaukseen liittyviä ohjelmia. Joutuisi taas kaivelemaan uutta eikä juuri nyt olisi aikaa :(
-
fail2ban:ssa näyttäisi olevan tuki ulkoisten ohjelmien ajamiseen. 8)
http://www.wenks.ch/fabian/fail2ban/action-with-script.html