Kirjoittaja Aihe: SSH:n murtosuojaus  (Luettu 9786 kertaa)

kranken

  • Käyttäjä
  • Viestejä: 23
    • Profiili
SSH:n murtosuojaus
« : 12.02.07 - klo:16.12 »
Eilen iltapäivällä huomasin taas nettiliikennevalon säännöllisestä vilkkumisesta, että joku kolkuttelee taas koneellani pyörivää SSH serveriä. Tarkisin Wiresharkilla liikenteen ja todellakin joku kävi satunnaisia käyttäjätunnus salasana yhdistelmiä läpi. IP osoite viittasi taas jonnekkin Venäjäjälle. Lisäsin IP:n palomuurin estolistalle.

Tämän kaltaisia hyökkäyksiä tulee muutama kappale päivässä ja tunnuksia käydään läpi muutama sata per hyökkäys. Sinänsä omat tunnukset on tehty hyvin, eli kyseisen kaltaisilla hyökkäyksillä ei koneelleni päästä, mutta kyllähän tuo vähän harmittaa.

Joskus kävin openSSH:n dokumentaation läpi etsien optiota, jolla voisi rajoittaa samasta IP:stä tulevien peräkkäisten kirjautumisyritysten määrän vaikka viiteen, mutta en löytänyt. Jollain sopivalla shell skriptillä ja iptablesilla voisi varmaankin tehdä tällaisen ominaisuuden..? Ideoita?

JJK

  • Käyttäjä
  • Viestejä: 359
  • Ubuntu Mate 22.04
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #1 : 12.02.07 - klo:16.43 »
Fail2ban on se mitä haet.

Jozzi

  • Käyttäjä
  • Viestejä: 38
    • Profiili
    • Ilmaista internetistä
Vs: SSH:n murtosuojaus
« Vastaus #2 : 14.02.07 - klo:06.41 »
itse olen käyttänyt DenyHosts:ia tuohon
Ilmaista internetistä
http://www.luukku.org

mgronber

  • Käyttäjä
  • Viestejä: 1458
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #3 : 14.02.07 - klo:10.52 »
itse olen käyttänyt DenyHosts:ia tuohon

Fail2ban löytyy pakettivarastoista, tuota ei taida löytyä.

Nakkis

  • Käyttäjä
  • Viestejä: 154
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #4 : 14.02.07 - klo:12.37 »
Hyvä vaihtoehto on myös laittaa sshd kuuntelemaan jotain muuta porttia, kuin 22.

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #5 : 14.02.07 - klo:18.25 »
Hyvä vaihtoehto on myös laittaa sshd kuuntelemaan jotain muuta porttia, kuin 22.

no toimiva se varmaan on, mutta en minä sitä mitenkään erityisen hyvänä pidä. itse olen konffannut koneen käyttämään public key autentikointia ja unohtanut koko jutun.
Janne

Nakkis

  • Käyttäjä
  • Viestejä: 154
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #6 : 15.02.07 - klo:01.46 »
Hyvä vaihtoehto on myös laittaa sshd kuuntelemaan jotain muuta porttia, kuin 22.

no toimiva se varmaan on, mutta en minä sitä mitenkään erityisen hyvänä pidä. itse olen konffannut koneen käyttämään public key autentikointia ja unohtanut koko jutun.
Jeps, itse en vain ole tuota public key hommaa jaksanut säätä, kun ei sitä avaintakaan varmasti aina ole mukana ja palveluntarjoaja blokkaa muutenkin kaikki portit 1024:n asti.

T.M

  • Käyttäjä
  • Viestejä: 172
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #7 : 15.02.07 - klo:08.38 »
Tässä on mitä minä tein:

-Root login kielletty
-Vaihdoin sshd:n kuuntelemaan eri porttia
-Sallittu kirjautuminen ssh:lla vain yhdellä tunnuksella
-Palomuurista sallittu kirjautumiset vain tietyistä ip-avaruuksista
-www-palvelimen logeista luetaan cron:lla tiettyä koodia joka avaa koodin syöttäneelle ip:lle palomuurissa aukon tuolle sshd-portille jos satun olemaan koneella joka ei kuulu palomuurista sallittuihin ip-avaruuksiin.

Tuon viimeisimmän virityksen hyöty voi olla kyseenalainen. Taitaa olla todenäköisempää että www-palvelimessa on jokin remote-exploitti kuin sshd:ssa. Mutta pidetään nyt mielenrauhan vuoksi käytössä.

Squirrel

  • Käyttäjä
  • Viestejä: 455
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #8 : 15.02.07 - klo:14.04 »
Portin vaihtaminen on aika hyödytöntä, kun ssh portin saa selville skannaamisella.

Toivoisin tulevan päivä päivältä paremmaksi tietokoneen käyttäjäksi

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #9 : 15.02.07 - klo:18.40 »
-Root login kielletty

tuohan on oletuksenakin noin ja lisäksi ubuntussa on root tili muutenkin diabloitu, joten roottina ei pystyisi loggaamaan vaikka se olisi sallittuakin :) mutta tietty onhan tuo ihan oikeasti hyvä tarkistaa, että se tosiaan on noin.

Portin vaihtaminen on aika hyödytöntä, kun ssh portin saa selville skannaamisella.

pitää paikkansa, mutta ainakaan automatisoidut hyökkäykset (madot, ym.) eivät tunnu ainakaan juuri tällä hetkellä juurikaan portteja skannailevan vaan yrittävät kiltisti oletusporttia. sinänsä mikään ei takaa etteikö tuo muuttuisi vaikka heti huomenna, mutta toisaalta porttiskannaus on myös mahdollista tunnistaa ja se on lähes poikkeuksetta hämärähommaa toisin kuin loggausyritys.

no, kuitenkin minusta portin vaihtaminen on vaan väärin eikä lainkaan tarpeellista.
Janne

T.M

  • Käyttäjä
  • Viestejä: 172
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #10 : 16.02.07 - klo:08.49 »
Miksi portin vaihtaminen olisi väärin ?

"Skripti-nyypiöiden" jujutus onnistuu noin helposti eikä tarvitse sitten lähetellä ubuntu-foorumeille viestejä jossa ihmetellään esim. auth.log:eja :)

Porttiskannauksen teko randomina pitkin verkkoja on huomattavasti rankempaa puuhaa kuin oletusportin koputtelu. Voisi kuvitella että siinä voi pahimmassa tapauksessa aiheutua vaikka ikäviä seurauksia.

« Viimeksi muokattu: 16.02.07 - klo:13.52 kirjoittanut T.M »

velvetGreen

  • Käyttäjä
  • Viestejä: 18
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #11 : 16.02.07 - klo:13.05 »
Porttiskannauksen teko randomina pitkin verkkoja on huomattavasti rankempaa puuhaa kuin oletusportin koputtelu. Voisi kuvitella että siinä voi pahimmassa tapauksessa tällaisesta toiminnasta voi aiheutua vaikka seurauksia.

Näin on.

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #12 : 17.02.07 - klo:01.15 »
Miksi portin vaihtaminen olisi väärin ?

miksi ylipäätään sopia mistään? portti 22 nyt sattuu olemaan varattu ssh:lle ja ssh-palvelin (vain) jossain toisessa portissa jättää tämän kätevästi huomiotta.

käytännössä tuo portin vaihtaminen ei oikeasti tee palvelinta yhtään sen turvallisemmaksi, vaan ainoastaa siivoaa logeja hetkellisesti. portti jossa palvelinta ajetaan paljastuuu kyllä ajan myötä eikä palvelin ole tällöin yhtään sen turvallisempi. toisaalta miksi konffata palvelintaan oikeasti turvallisesti kun voi hiemna pienemmällä vaivalla työntää päänsä pensaaseen ja kuvitella olevansa turvassa.

sitä paitsi mitä useammalla koneella palveluiden portit ovat mitä sattuu, niin sitä tovennäköisemmäksi porttiskannauksetkin käyvät.

"Skripti-nyypiöiden" jujutus onnistuu noin helposti eikä tarvitse sitten lähetellä ubuntu-foorumeille viestejä jossa ihmetellään esim. auth.log:eja :)

skriptinyypiö käyttää tietysti scriptiä joka selvittää sen portin. oikeasti kuitenkin valtaosa hyökkäyksistä on matojen/zombiverkkojen suorittamia ja sillä ei ole mitään tekemistä nyypiöiden kanssa, päin vastoin.

ja mitä logeihin tulee, niin niitä ihmetellään joka tapauksessa.

Porttiskannauksen teko randomina pitkin verkkoja on huomattavasti rankempaa puuhaa kuin oletusportin koputtelu.

on varmasti rankempaa, mutta hyökkäyksen suorittaja ei luultavasti ole niin tyhmä, että käyttäisi hommaan oman koneensa resursseja. jos tuhannet(/miljoonat?) saastuneet koneet skannailevat verkkoa, niin se ei tunnu yhtään raskaalta.

Voisi kuvitella että siinä voi pahimmassa tapauksessa aiheutua vaikka ikäviä seurauksia.

kuten jo sanoin, hyökkääjä saa olla oikeasti aika tyhmä jos käyttää hyökkäykseen omaa konettaan, sen sijaan hyökkäyksen järjestäjää ei varmasti liiemmin kiinnosta kenen mummon/vaarin/aloittelijan/tietoruvasta piittamattoman/kenen tahansa muun koneelta suoritetusta automatisoidusta hyökkäyksestä koituisi 'ikäviä seurauksia' koneen omistajalle.
Janne

Squirrel

  • Käyttäjä
  • Viestejä: 455
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #13 : 22.02.07 - klo:02.15 »
Tosin tuntuu nuo madot jne. kokeilevan lähes aina englanninkielisiä tunnuksia. (tai siis enkkunimia jne.) Kai ne kohtapuoliin osaa ruveta etsii muidenkin maiden nimien perusteella, mutta vaikka osaisikin, en huolestu yhtään siitä, että ne yrittää mun koneelleni.
Toivoisin tulevan päivä päivältä paremmaksi tietokoneen käyttäjäksi

Risto H. Kurppa

  • Käyttäjä
  • Viestejä: 3024
  • Useita Kubuntuja ajossa.
    • Profiili
    • http://risto.kurppa.fi
Vs: SSH:n murtosuojaus
« Vastaus #14 : 22.02.07 - klo:07.45 »
Tämä nyt on varmaa sitä 'auth.login ihmettelyä', mutta 16 000 yritystä sisään 120 päivässä. Mutta noista tunnuksista:

Suurin yrittää roottia, paljon on myös guestia. Lisäksi on paljon japanihtavia nimiä (shiraki, hagiwara, nakamoto, motoka) - muuten rootin kanssa vuorotellen. Eri linux-distrojen nimiä, palveluiden nimiä (httpd, mysql, email, cvs, tomcat, php).

Marraskuussa on ollut jossain vaiheessa kuitenkin 'paremman todennäköisyyden nimilistat' käytössä: 263 erilaista suomalaista nimeä - lähinnä jotenkin 'tunnettuja' nimiä, kuten ahtisaari, hursti, hyypia, hurmerinta, helminen, hameenlinna, imatra, inari, gustaffsson, espoo ja eurooppa. I-kirjaimeen on kuitenkin nimet loppuneet, kenties yrittäneet uudemman kerran myöhemmin.

rhk.homelinux.net:8080/temp/nimia.txt
Hyvä meininki, tuosta saa jo vaikka minkälaista nimilistaa kokoon ;)


r
UUSI UBUNTUN KÄYTTÄJÄ: SÄÄSTÄ AIKAASI LUKEMALLA  -> TÄMÄ <-

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #15 : 22.02.07 - klo:18.03 »
Tosin tuntuu nuo madot jne. kokeilevan lähes aina englanninkielisiä tunnuksia. (tai siis enkkunimia jne.) Kai ne kohtapuoliin osaa ruveta etsii muidenkin maiden nimien perusteella, mutta vaikka osaisikin, en huolestu yhtään siitä, että ne yrittää mun koneelleni.

on kyllä totta, että valtaosa taitaa kokeilla englanninkielisiä etunimiä, mutta oli minulla joku viikon pätkä kun joku mato yritti suomalaisillakin nimillä sisään. tuonkin tosin huomasin ihan sattumalta ja jäin huvikseni seurailemaan tilannetta, joten voi olla, että niitä on ollut enemmänkin.
Janne

Judanssi

  • Käyttäjä
  • Viestejä: 28
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #16 : 23.02.07 - klo:07.47 »
Kuinka herkästi muuten ilmoitatte ko. ISP:lle noista ilmoituksista? Itselläni tuo on satunnaista, mutta ei mitenkään harvinaista. Huonolla englannilla tehty ilmoitus, mihin osoitteeseen ja mistä noita on tullut + liitteeksi copypaste auth.logista.

Niin ja onkohan tuosta urputuksesta mitään hyötyä?

T.M

  • Käyttäjä
  • Viestejä: 172
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #17 : 27.02.07 - klo:13.04 »
miksi ylipäätään sopia mistään?
Jankkaan vielä asiaa. Minä en ole ainakaan sopinut missään että pidän sshd-palvelinta portissa 22. Entäpä miten väärin on pitää httpd-palvelinta muussa kuin default portissa. Vai olenko minä tämänkin sopinut jossain ?

Ihan varmasti vaikeutuu/hidastuu murtoyritysten teko jos zombiet vetävät porttiskannauksia pitkin maailmaa.
Käännetään asia niin päin. Kuinka monelle on tullut auth.logiin yrityksiä jos sshd roikkuu muussa kuin oletusportissa ?

Mielestäni tuo turvallisuuslisäys portinvaihdolla on samaa luokkaa kuin että autoa parkkeeratessa miettii hieman mihin jättää auton. Viekö sisäpihalle vai jättääkö pimeälle parkkipaikalle. Ei merkittävää mutta vähän kuitenkin...

Skannauksien ilmoittelu:
Työpaikalla olen ilmoitellut kotimaasta palomuuriin tulevista selkeistä matoskannauksista yms. Olen ilmoittanu asiasta yleensä suoraan skannuslähteeseen ja sieltä on yleensä tullut kiitoksia+ilmoitus koneiden siivoamisesta. sshd-yrityksiä en ole aktiivisesti monitoroinut joten niistä en ole ilmoitellut.

Ulkomaille en viitsi vaivautua varsinkin kun yritykset tulevat yleensä kaukaa idästä/etelä-amerikasta.
« Viimeksi muokattu: 27.02.07 - klo:14.26 kirjoittanut T.M »

Tonde

  • Käyttäjä
  • Viestejä: 919
  • Feisty Fawn
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #18 : 27.02.07 - klo:15.56 »
Lainaus käyttäjältä: janne
miksi ylipäätään sopia mistään? portti 22 nyt sattuu olemaan varattu ssh:lle ja ssh-palvelin (vain) jossain toisessa portissa jättää tämän kätevästi huomiotta.
Tämä on sangen ymmärrettävää, jos puhutaan yritysverkoista tai kaupallisista verkoista. Yksityiselle henkilölle, jonka ssh-käyttö on oman koneen etäkäyttöä, tällä ei ole mielestäni mitään merkitystä.

Kuinka monelle on tullut auth.logiin yrityksiä jos sshd roikkuu muussa kuin oletusportissa ?
puoli vuotta ollut ssh ei default portissa. Yhtään tunkeutumisyritystä ei näy auth.logissa.
« Viimeksi muokattu: 27.02.07 - klo:15.58 kirjoittanut Tonde »
Heitä hyväsit hitaudelle. Asenna ubuntu!

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Vs: SSH:n murtosuojaus
« Vastaus #19 : 27.02.07 - klo:19.53 »
miksi ylipäätään sopia mistään?
Jankkaan vielä asiaa. Minä en ole ainakaan sopinut missään että pidän sshd-palvelinta portissa 22. Entäpä miten väärin on pitää httpd-palvelinta muussa kuin default portissa. Vai olenko minä tämänkin sopinut jossain ?

juu sinä et ole varmaa asiaa kirjallisesti missään sopinut homma nyt vaan on speksattu niin sinua hieman korkeammalla tasolla. mutta toisaalta et ole varmaan missään sopinut myöskään käyttäväsi palvelimillasi TCP/IP-protokollaa? vaihtamalla protokollaa yhteysyritykset vähenevät entisestään.

Ihan varmasti vaikeutuu/hidastuu murtoyritysten teko jos zombiet vetävät porttiskannauksia pitkin maailmaa.

porttiskannaus ei oikeasti kestä kovin kauaa, varsinkaan fiksulla rangella. madot eivät välitä kauan skannaus kestää ja kaiken lisäksi kun portti kerran löytyy, niin se on myös tiedossa. tietty sitten sitä porttia voi vaihdella kilpaa skannausten kanssa.

Mielestäni tuo turvallisuuslisäys portinvaihdolla on samaa luokkaa kuin että autoa parkkeeratessa miettii hieman mihin jättää auton. Viekö sisäpihalle vai jättääkö pimeälle parkkipaikalle. Ei merkittävää mutta vähän kuitenkin...

juu, vertaus varmaan pätee jos autoa ei laita lukkoon.

ssh-serverin saa kuitenkin oikeasti konffattua niin, että sinne ei tulla sisään, ellei palvelinohjelmistosta löydy erittäin vakavaa remote exploittia. tuo taas on harvinaisen epätodennäköistä ja kaiken lisäksi tuon kaltaiset aukot paikataan aivan järkyttävän nopeasti sellaisten löydyttyä.  oiken konffatulla palvelimella puolestaan ei ole väliä mihin sen 'parkittaa' ja siksi en edelleenkään näe mitään järkeä 'parkittaa' sitä yhtään mihinkään muualle kuin IANA:n IP-protokollalle speksaamaan porttiin
Janne