Kirjoittaja Aihe: rootin tappaminen  (Luettu 6083 kertaa)

Mistofelees

  • Käyttäjä
  • Viestejä: 663
    • Profiili
rootin tappaminen
« : 06.05.18 - klo:23.39 »
Onko joku asetus, jolla saisi estettyä koneen reagoimasta mitenkään, kun joku yrittää kirjautua root-tunnuksella ?
Serverin root-salasana on niin pitkä, että forcettamalla portti saattaisi aueta sadassa vuodessa, joten tietoturva ei ole ongelmana, vaan turhat kirjautumisyritykset.

Alkaa harmittaa, kun Kiinasta tulee jatkuvaa pommitusta, joka kuluttaa serverin resursseja aivan turhaan.
Olisi parempi, kun serveri tarkastaisi kirjautuvan käyttäjätunnuksen /etc/passwd:stä eikä vastaisi mitään, ellei nimi ole listalla tai jos olisi kielletty vastaamasta.

Yritin ohjeen mukaan 'faillog -u root -l 360 -m 4'
Tällä ei kuitenkaan ole mitään vaikutusta, /var/auth/log:ssa kirjautumisyrityksiä Huanchosta on silti sekunnin välein.

shellin vaihtamisesta /etc/passwd:ssä ei ole apua. Järjestelmä tekee kuitenkin kaikki kevätjuhlaliikkeensä ja vieläpä sylkäisee ruudulle tiedon järjestelmän tyypistä ja tilasta MOTD:n kautta. Ei tarvitse Kim Ping Pongin tätäkään tietoa kaivella.

/etc/ssh/sshd_confiin kirjoitetut rivit eivät vaikuttaneet mitenkään:
PermitRootLogin no
StrictModes yes

"deluser root" ei viitsi kokeilla, kun ei tiedä menevätkö samalla sudotus-oikeudet.

"usermod -l villevallaton root" ei auta, koska Linux kysyy salasanaa olemattomiltakin käyttäjiltä. Eikä tämä muutenkaan ole hyvä temppu.

Pitäisikö tehdä edustakoneeksi WAN:n ja serverin väliin joku RasPi, joka vain tappaisi turhat kirjautumispyynnöt ja  välittäisi SSH-virtaa eteenpäin. Tämäkään ei pienennä WAN:sta tulevaa kirjautumisyritysten myrskyä.
Routerilta on kiellety kaikki turha liikenne. Ainoa auki oleva portti on ssh 22
« Viimeksi muokattu: 06.05.18 - klo:23.45 kirjoittanut Mistofelees »

nm

  • Käyttäjä
  • Viestejä: 16430
    • Profiili
Vs: rootin tappaminen
« Vastaus #1 : 07.05.18 - klo:00.22 »
Onko joku asetus, jolla saisi estettyä koneen reagoimasta mitenkään, kun joku yrittää kirjautua root-tunnuksella ?

Lisää /etc/ssh/sshd_config -tiedoston loppuun:

Koodia: [Valitse]
Match User root
    PasswordAuthentication no


Routerilta on kiellety kaikki turha liikenne. Ainoa auki oleva portti on ssh 22

Kirjautumisyritysten määrä tippuu tuhannesosaan vaihtamalla SSH:n portti joksikin muuksi välillä 1024--65535.

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: rootin tappaminen
« Vastaus #2 : 07.05.18 - klo:02.17 »
ssh-avaimet käyttöön ja password login pois kokonaan (kuten nm sanoikin jo) niin ei kysele turhia.
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: rootin tappaminen
« Vastaus #3 : 07.05.18 - klo:09.00 »
Kyselyihin nuo asetukset auta paitsi ssh portin uudelleensijoitus.

Root käyttäjällä ei ole tarvetta tuohon root loginiin ssh:n kautta. Sitten voit asentaa fail2ban:n joka bannaa ne jotka yrittävät useasti kirjautua ssh:lla ja epäonnistuvat.

Mikä käyttis sinulla olikaan ?

Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

nm

  • Käyttäjä
  • Viestejä: 16430
    • Profiili
Vs: rootin tappaminen
« Vastaus #4 : 07.05.18 - klo:09.26 »
Kyselyihin nuo asetukset auta paitsi ssh portin uudelleensijoitus.

Salasana-autentikoinnin kytkeminen pois päältä auttaa kuitenkin siihen, ettei kirjautumisen käsittely etene PAM-järjestelmän puolelle, joka kuormittaa jonkin verran prosessoria. Sen sijaan sshd katkaisee yhteyden välittömästi.

Mistofelees

  • Käyttäjä
  • Viestejä: 663
    • Profiili
Vs: rootin tappaminen
« Vastaus #5 : 10.05.18 - klo:10.39 »
Kiitos ehdotuksista
Perehdyn paremmin kunhan taas ehdin.

Tuo portin siirto ei välttämättä auta, koska nyt Kiinalaiset näyttävät käyvän ensin koko porttiavaruuden läpi ja vasta sitten alkavan skannata löytynyttä SSH-porttia.
Yksi hyvä temppu näyttää olevan se, että pingaa hetken hyökkääjän konetta. Pelästyy ja sulkee yhteyden.
Pitäisi vaan olla joku näppärä temppu, jolla saisi pingin käyntiin, kun joku yrittää SSH:lla. Ei olisi haittaa, vaikka pingattaisiin jokaista sisäänpyrkijää muutamia kertoja.

Pieni porttiscannaus tai jonkun portin kokeilu jollain aivan keksityllä protokollalla voisi myös olla mukava haaste hyökkääjälle.

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: rootin tappaminen
« Vastaus #6 : 10.05.18 - klo:10.58 »
Yksi hyvä temppu näyttää olevan se, että pingaa hetken hyökkääjän konetta. Pelästyy ja sulkee yhteyden.
Pitäisi vaan olla joku näppärä temppu, jolla saisi pingin käyntiin, kun joku yrittää SSH:lla. Ei olisi haittaa, vaikka pingattaisiin jokaista sisäänpyrkijää muutamia kertoja.

Tuollainen porttien skannaus olisi varmaan melko helppo tunnistaa ja sulkea liikenne kyseisestä osoitteesta. Onnistuisikohan iptablesilla? Se pingaussysteemi onnistuu luultavasti ainakin niin, että laitat oman palvelun kuuntelemaan jotain melko satunnaista porttia (tai useampaa) ja jos sieltä tulee kyselyä, niin laitat pingin samaan osoitteeseen. En kyllä ole kokeillut.

Pieni porttiscannaus tai jonkun portin kokeilu jollain aivan keksityllä protokollalla voisi myös olla mukava haaste hyökkääjälle.

Port knocking on ihan käytössä oleva juttu, mutta tietenkin tuota voi jatkokehittää toivomaasi suuntaan. Jotkut reitittimet muuten osaavat tuon porttien koputtelun perusteella liikenteen sallimisen eli sitä ei tarvitse edes itse toteuttaa välttämättä, jos käyttää sopivaa reititintä välissä.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

Mistofelees

  • Käyttäjä
  • Viestejä: 663
    • Profiili
Vs: rootin tappaminen
« Vastaus #7 : 10.05.18 - klo:19.16 »
Harmi, etten ole tehnyt tuonkaltaisia porttiskannaukseen liittyviä ohjelmia. Joutuisi taas kaivelemaan uutta eikä juuri nyt olisi aikaa :(

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: rootin tappaminen
« Vastaus #8 : 12.05.18 - klo:09.49 »

fail2ban:ssa näyttäisi olevan tuki ulkoisten ohjelmien ajamiseen.  8)

http://www.wenks.ch/fabian/fail2ban/action-with-script.html
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään