Kirjoittaja Aihe: ssh break-in attempt serverissä.  (Luettu 5631 kertaa)

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
ssh break-in attempt serverissä.
« : 22.08.12 - klo:11.59 »
Pitää sshguard:a jotenkin konffata ? Asensin sen ja se daemon lähti käyntiin.

Lainaus
Address 62.76.*.* maps to 62-76-*-*.*.*, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT
« Viimeksi muokattu: 22.08.12 - klo:21.31 kirjoittanut syrtek66 »
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

HannuTapio

  • Käyttäjä
  • Viestejä: 1264
  • OpenJDK + JavaScript testailuu ja säätelyy.
    • Profiili
    • Hannun netti internet sotaisa aihe lautapelejä.
Vs: ssh brute attack
« Vastaus #1 : 22.08.12 - klo:20.16 »
Brute force attack,

Minua kiinnostaa ohjelma, olen itse valinnut fail2ban ja iptables estämään ssh kautta tulevia yhteys yrityksiä varten.

Onko jotain tiettyä syytä miksi käyttää jotakin muuta kuin fail2ban taikka iptables ohjelmia ssh suojana.

Olen ihan aloittelija palvelimien kanssa, ja minulla kait on tämä palvelu jossain vaiheessa päällä, olenko minä itse suojattuna tarpeeksi hyvin kera fail2ban ja iptables joka tarkistaa mistä ip:stä on.

Olisiko tuo sshguard tarpeen myös minulle ?

---
« Viimeksi muokattu: 22.08.12 - klo:20.42 kirjoittanut JariTapio »
Suomalainen Linux netti lautapelejä indie .. ( Gimp, Inkscape, Netbeans, Audacity ) ..
Blogi - [ https://lautapelimestari.com ]
Pelisivut - [ https://lautapelisivusto.com | https://hannunsankarit.com | https://lautapelikenraalit.com ]
--

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: ssh brute attack
« Vastaus #2 : 22.08.12 - klo:21.31 »

great,

asensin sshguard:n koska guugle löysi sen ensimmäisenä.

fail2ban näyttää olevan vastaava ohjelma joten sitä ei tarvitse kait asentaa jos on asentanut sen.

eroja näyttää olevan siinä että fail2ban on kirjoitettu python:lla ja siten on ehkä turvallisuus/turvattomuus perustuu python omille bugeille ja sshguard on taasen tehty käyttäen C-kieltä.

osaako joku muu kertoa eroista?
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

HannuTapio

  • Käyttäjä
  • Viestejä: 1264
  • OpenJDK + JavaScript testailuu ja säätelyy.
    • Profiili
    • Hannun netti internet sotaisa aihe lautapelejä.
Vs: ssh break-in attempt serverissä.
« Vastaus #3 : 22.08.12 - klo:22.53 »
sshguard,

Liekö tästä mitään ongelmaa, vaikka pitäisin sitten minä myös sshguardin asennettuna.

Minulla olisi sshguard asennuksen jälkeen sitten -

Iptables - portti 22 säädettynä vain kotiip ja palveluntarjoajani ylläpito.
fail2ban - perusasetuksilla.
sshguard - perusasetuksilla.

kiitos keskustelusta, jatkan tästä minäkin säätelyjäni.

Myöskin ensimmäisen viestin kysymys on vielä ilman vastausta, en itse osaa neuvoa, joku toinen voi jatkaa..

---
« Viimeksi muokattu: 22.08.12 - klo:22.56 kirjoittanut JariTapio »
Suomalainen Linux netti lautapelejä indie .. ( Gimp, Inkscape, Netbeans, Audacity ) ..
Blogi - [ https://lautapelimestari.com ]
Pelisivut - [ https://lautapelisivusto.com | https://hannunsankarit.com | https://lautapelikenraalit.com ]
--

jarilind

  • Käyttäjä
  • Viestejä: 30
    • Profiili
Vs: ssh break-in attempt serverissä.
« Vastaus #4 : 24.08.12 - klo:20.50 »
Yksi simppeli tapa vähentää mahdollisuuksia että edes yritetään hyökätä, on vaihtaa ssh porttia. Itsellä on kotiservulla portti xxx22, tulee paljon vähemmän edes koputteluita, kun ssh palvelu sijaitsee jossain harvemmin käytetyssä portissa.

jekku

  • Käyttäjä
  • Viestejä: 2624
    • Profiili
Vs: ssh break-in attempt serverissä.
« Vastaus #5 : 24.08.12 - klo:21.05 »
Yksi simppeli tapa vähentää mahdollisuuksia että edes yritetään hyökätä, on vaihtaa ssh porttia. Itsellä on kotiservulla portti xxx22, tulee paljon vähemmän edes koputteluita, kun ssh palvelu sijaitsee jossain harvemmin käytetyssä portissa.

Pitääkö tuo portti kertoa jossain myös noille kerberoksille kuten fail2ban?

jarilind

  • Käyttäjä
  • Viestejä: 30
    • Profiili
Vs: ssh break-in attempt serverissä.
« Vastaus #6 : 24.08.12 - klo:21.19 »
Yksi simppeli tapa vähentää mahdollisuuksia että edes yritetään hyökätä, on vaihtaa ssh porttia. Itsellä on kotiservulla portti xxx22, tulee paljon vähemmän edes koputteluita, kun ssh palvelu sijaitsee jossain harvemmin käytetyssä portissa.

Pitääkö tuo portti kertoa jossain myös noille kerberoksille kuten fail2ban?


Koodia: [Valitse]
Lets take a look at the ssh setting:

[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 3
You can enable or disable the monitoring of specific services (ports). The ssh monitoring uses the auth.log file to detect failed
login attempts.
http://www.dikant.de/2009/06/19/securing-ssh-server-with-fail2ban/


Ilmeisesti ei tarvitse porttia kertoa, vaan se kattois sen ssh prosessilta.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: ssh break-in attempt serverissä.
« Vastaus #7 : 24.08.12 - klo:23.26 »
Eikös ssh:n saa konfiguroitua hyväksymään kirjautuminen vain oikealla avaintiedostolla? Jolloin luulisi ainakin salasanan arvailujen tyssäävän siihen.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: ssh break-in attempt serverissä.
« Vastaus #8 : 27.08.12 - klo:14.33 »

Jep olevan tehnyt sen näin (public/private avaimilla) joten vaikka tietäisi tunnuksen ei pääse koska vaaditaan se että julkinen avain on tallettu serverille.
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: ssh break-in attempt serverissä.
« Vastaus #9 : 28.08.12 - klo:22.47 »
Eikös ssh:n saa konfiguroitua hyväksymään kirjautuminen vain oikealla avaintiedostolla? Jolloin luulisi ainakin salasanan arvailujen tyssäävän siihen.

Itsellä on noin, mutta eihän se arvailu mihinkään vähene ilman fail2bania, se vain on tuloksettomampaa ;)

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: ssh break-in attempt serverissä.
« Vastaus #10 : 02.09.12 - klo:21.51 »
Lainaus
Itsellä on noin, mutta eihän se arvailu mihinkään vähene ilman fail2bania, se vain on tuloksettomampaa Wink

Jos en nyt ihan väärässä ole niin salasanojen arvailu loppuu kun ottaa salasanan kyselyn pois kokonaan siinä vaiheessa kun avaimet on asennettu eli että pääsee vain avaimella, ei salasanalla lainkaan.  Tietty avaimiakin voi yrittää arpoa mutta aikalailla  toivottomampaa kuin salasanan arvailu.  En lainkaan kiellä että lisäsuojana voisi olla hyvä idea lukita automaattisesti ip-osoite jos jostain osoitteesta epäonnistuu toistuvasti. 
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

reboot

  • Käyttäjä
  • Viestejä: 213
    • Profiili
Vs: ssh break-in attempt serverissä.
« Vastaus #11 : 07.09.12 - klo:16.25 »
http://www.dikant.de/2009/06/19/securing-ssh-server-with-fail2ban/
Ilmeisesti ei tarvitse porttia kertoa, vaan se kattois sen ssh prosessilta.

Kiitos vinkistä, tuli asennettua tuo omalle Ubuntu NASillekin. Helppo ja nopea asentaa/säätää toimimaan.  :)
Ubuntu käytössä kotona ja töissä!
*** Kun ongelmasi on ratkaisu lisää otsikkoon [Ratkaistu] ***

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: ssh break-in attempt serverissä.
« Vastaus #12 : 08.10.12 - klo:12.18 »
Lainaus
Itsellä on noin, mutta eihän se arvailu mihinkään vähene ilman fail2bania, se vain on tuloksettomampaa Wink

Jos en nyt ihan väärässä ole niin salasanojen arvailu loppuu kun ottaa salasanan kyselyn pois kokonaan siinä vaiheessa kun avaimet on asennettu eli että pääsee vain avaimella, ei salasanalla lainkaan.  Tietty avaimiakin voi yrittää arpoa mutta aikalailla  toivottomampaa kuin salasanan arvailu.  En lainkaan kiellä että lisäsuojana voisi olla hyvä idea lukita automaattisesti ip-osoite jos jostain osoitteesta epäonnistuu toistuvasti. 

Itselläni on siis salasana-autentikointi kielletty. Pointti onkin siinä, että ei se arvailu siitä vähene, vaikkei sisään pääsekään edes oikealla salasanalla. Samalla tavalla ne koputtelut nakuttaa lokeihin rivejä.