LINUX.ORG.RU
ФорумAdmin

Подбирают пароль к SSH ?

 ,


0

1

Добрый день,

В логах вот такое:

июн 10 00:00:04 localhost sshd[23091]: pam_tally(sshd:auth): Tally overflowed for user root
июн 10 00:00:04 localhost sshd[23091]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.52.180  user=root
июн 10 00:00:07 localhost sshd[23091]: Failed password for root from 43.229.52.180 port 38239 ssh2
июн 10 00:00:07 localhost sshd[23091]: pam_tally(sshd:auth): Tally overflowed for user root
июн 10 00:00:09 localhost sshd[23091]: Failed password for root from 43.229.52.180 port 38239 ssh2
июн 10 00:00:09 localhost sshd[23091]: pam_tally(sshd:auth): Tally overflowed for user root
июн 10 00:00:11 localhost sshd[23091]: Failed password for root from 43.229.52.180 port 38239 ssh2
июн 10 00:00:12 localhost sshd[23091]: Received disconnect from 43.229.52.180: 11:  [preauth]
июн 10 00:00:12 localhost sshd[23091]: Disconnected from 43.229.52.180 [preauth]
июн 10 00:00:12 localhost sshd[23091]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.52.180  user=root
июн 10 00:00:13 localhost sshd[23316]: pam_tally(sshd:auth): Tally overflowed for user root
июн 10 00:00:13 localhost sshd[23316]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.52.180  user=root
июн 10 00:00:15 localhost sshd[23316]: Failed password for root from 43.229.52.180 port 52516 ssh2
июн 10 00:00:15 localhost sshd[23316]: pam_tally(sshd:auth): Tally overflowed for user root
июн 10 00:00:17 localhost sshd[23316]: Failed password for root from 43.229.52.180 port 52516 ssh2
июн 10 00:00:17 localhost sshd[23316]: pam_tally(sshd:auth): Tally overflowed for user root
июн 10 00:00:19 localhost sshd[23316]: Failed password for root from 43.229.52.180 port 52516 ssh2
июн 10 00:00:20 localhost sshd[23316]: Received disconnect from 43.229.52.180: 11:  [preauth]
июн 10 00:00:20 localhost sshd[23316]: Disconnected from 43.229.52.180 [preauth]
июн 10 00:00:20 localhost sshd[23316]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.52.180  user=root

Я правильно понимаю, что это подбирают пароль к SSH ? Что лучше сделать в этом случае ? Можно ли убрать у root возможность входа по SSH или это плохая идея ?

rhost все время один и тот же - я могу про него что-то узнать ?

★★

Последнее исправление: Klymedy (всего исправлений: 1)

Что лучше сделать в этом случае ?

fail2ban

Можно ли убрать у root возможность входа по SSH или это плохая идея ?

С этого надо начинать сразу после установки системы еще до настройки сети. Пользователи должны ходить по ключу+пароль.

Turbid ★★★★★
()
Последнее исправление: Turbid (всего исправлений: 2)

Можно ли убрать у root возможность входа по SSH

Нужно. Ну или хотя бы отключить вход по паролю, оставить только ключ.

redgremlin ★★★★★
()

Убрать возможность входа по паролю и пусть подбирают ключ до тепловой смерти Вселенной.

fail2ban бесполезен, поскольку он делает вид, что прикрывает слабые пароли и даёт ложное чувство безопасности. С ключами он нафиг не нужен.

x3al ★★★★★
()
Ответ на: комментарий от x3al

fail2ban полезен хотя бы тем, что логи авторизации становятся меньше процентов на 99 и их можно адекватно анализировать.

Turbid ★★★★★
()
Ответ на: комментарий от Turbid

Я тупо выкидываю фейлящихся китайцев из логов. Ну и читать сырые логи не так часто нужно.

x3al ★★★★★
()

Firewall: shorewall
Ssh: SSL cert authorization with passphrase
+ «PasswordAuthentication no» in /etc/ssh/sshd_config

shpak1
()

Можно ли убрать у root возможность входа по SSH

PermitRootLogin no в /etc/ssh/sshd_config

ну и fail2ban стоит поставить, как советуют выше

JB ★★★★★
()

Можно ли убрать у root возможность входа по SSH

нужно

axelroot
()
Ответ на: комментарий от CHIPOK

Сделал авторизацию по ключу. Там еще и порт просто перебирали. И вообще, для эксперимента развернул на хостинге новую виртуалку с новым IP и новым hostname. Через час уже сканировать начали. Похоже это просто роботы.

lemas ★★
() автор топика
Ответ на: комментарий от Turbid

fail2ban полезен хотя бы тем

Проще написать автобан через iptables -m recent по количеству коннектов, чем юзать fail2ban.

iron ★★★★★
()

Не перестаю удивляться с людей, которые юзают ssh по паролю. Ключи для кого придумали?

entefeed ☆☆☆
()
Ответ на: комментарий от lemas

И вообще, для эксперимента развернул на хостинге новую виртуалку с новым IP и новым hostname. Через час уже сканировать начали.

Жаль, в современных linux-системах не прокатывает старый windows-метод «ленивого кота». Народ ставил в виртуалку левый ftp-сервер с простым паролем. И накидывал там всяких «porno.exe» с троянцами. Горе-хакеры подбирали пароль, входили на ftp, качали, запускали... :D

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

Горе-хакеры подбирали пароль, входили на ftp, качали, запускали... :D

Странные какие то хакеры, обычные используют что бы залить что то своё, или чужое, только что стыренное. И сиди потом доказывай что это не ты банковские базы на ftp хранишь.

TEX ★★★
()
Ответ на: комментарий от x3al

Убрать возможность входа по паролю и пусть подбирают ключ до тепловой смерти Вселенной.

Ага, а потом хард полетел или не подумав про все свои сервера пересоздал себе ключ и остался твой летучий голландец где-нибудь в Нидерландах без управления. Или ты свои ключи на яндекс диске хранишь?

fail2ban бесполезен, поскольку он делает вид, что прикрывает слабые пароли и даёт ложное чувство безопасности. С ключами он нафиг не нужен.

Очень даже полезен и просто в установке. Сильно снижает возможность брутфорса. Само собой, если ты прикрываешься только fail2ban - это ССЗБ.

Менять порты тоже не нужно, это плохая практика. Причин много: порт можно забыть через месяц (особенно если .ssh/config используешь), порт может быть закрыт проксей из того места, откуда тебе понадобится подсоединиться, порт может перекрыть какой-нибудь в будущем нужный сервис, да и в целом смена дефолтного порта потенциально грозит «фантомными» проявлениями, причины которых потом долго будешь искать.


Так что ходите по ключу, обязательно оставьте одного юзера с правами на sudo, можно со сложным логином и обязательно со сложным паролем, на случай непредвиденных факапов. И самое главное - юзайте port knocking для таких сервисов, как ssh.

BaBL ★★★★★
()
Ответ на: комментарий от BaBL

Причин много: порт можно забыть через месяц (особенно если .ssh/config используешь), порт может быть закрыт проксей из того места, откуда тебе понадобится подсоединиться,

И самое главное - юзайте port knocking

Я тоже за логику.

Aceler ★★★★★
()
Ответ на: комментарий от KRoN73

Народ ставил в виртуалку левый ftp-сервер с простым паролем. И накидывал там всяких «porno.exe» с троянцами.

Помню это время. Было весело.

anonymous_sama ★★★★★
()
Ответ на: комментарий от BaBL

Ага, а потом хард полетел или не подумав про все свои сервера пересоздал себе ключ и остался твой летучий голландец где-нибудь в Нидерландах без управления. Или ты свои ключи на яндекс диске хранишь?

Подожди, а как ты хранишь свои пароли? В голове? Всю сотню? Терять пароли не сложнее, чем ключ.

Ключ может быть запаролен если ты хочешь хранить его на яндекс-диске.

x3al ★★★★★
()
Ответ на: комментарий от x3al

Подожди, а как ты хранишь свои пароли? В голове? Всю сотню? Терять пароли не сложнее, чем ключ.

Да, в голове. У меня есть несколько 10-15 значных сложный паролей вида: df01px734df и есть еще набор методик, по которым я пароли назначаю сервисам, более простым, к примеру: переворачиваю какое-нибудь стихотворение, известную фразу, пробелы меняю на цифры, первую букву ставлю заглавной, а в конце добавляю ? (это если требования к паролю повышенные).

Мне кажется, для людей, связанных с администрированием и программированием такой навык очень полезен. Ты в любой момент можешь остаться без всего, с чужим планшетом, посреди леса на GPRS'е и как ты будешь расшифровывать свой яндекс диск, на который даже зайти толком нельзя? А когда я был в Китае, я познавал жизнь без гугла (это если у тебя гугл диск) и знание паролей помогло мне решить в 3 часа ночи проблемы DDOS'а.

BaBL ★★★★★
()

Меня тоже так пытались сломать.

Deleted
()
Ответ на: комментарий от BaBL

Такие пароли замечательны, но если не пользоваться ими полгода — забудешь.

свой яндекс диск

У меня несколько бекапов, и яндекс-диск — не среди них.

Ты в любой момент можешь остаться без всего, с чужим планшетом, посреди леса на GPRS'e

Ни разу не было.

когда я был в Китае, я познавал жизнь без гугла

И у тебя не было времени подготовиться перед тем, как оказался в Китае?

x3al ★★★★★
()
Ответ на: комментарий от BaBL

Ага, а потом хард полетел

man backup

или не подумав

… в пьяном виде поменял пароль и забыл.

порт можно забыть через месяц

Угу, простой порт забыл, а сложный пароль помнишь. Нобелевку по медицине не желаете получить?

redgremlin ★★★★★
()
Последнее исправление: redgremlin (всего исправлений: 1)
Ответ на: комментарий от BaBL

Ты в любой момент можешь остаться без всего, с чужим планшетом, посреди леса на GPRS'е

Извините, мистер Бонд, я не сразу вас признал.

redgremlin ★★★★★
()
Ответ на: комментарий от x3al

Такие пароли замечательны, но если не пользоваться ими полгода — забудешь.

Ну может это мой какой-то особый мозг, но как-то не забывается. Ты ведь «У Лукоморья дуб спилили, кота на мясо зарубили, русалку в бочку засолили и написали огурцы. Там на неведомых дорожках - следы разбитых жигулей, там мерседес на курьих ножках, стоит без окон без дверей.» не забыл, хотя вряд ли последний год хоть раз вспоминал.

И у тебя не было времени подготовиться перед тем, как оказался в Китае?

Я даже не предполагал что я без gmail останусь, я там был первую половину января и примерно в это время гугл там стал не у дел (по-моему, в декабре)

BaBL ★★★★★
()
Ответ на: комментарий от redgremlin

Угу, простой порт забыл, а сложный пароль помнишь. Нобелевку по медицине не желаете получить?

Порт не простой, а 4-5 значный будет. А серверов пара десятков. У меня есть такая проблема на одном кластере с виртуалками, там iptables мапит «10122, 10222, 10322» и попробуй их вспомни, на какую какой. А недавно мне написали со старой работы, там был 522 порт, я его по почте вспоминал, искал письмо передачи дел. Хотя пароль свой при этом помнил (и не использовал больше нигде).

Скорее всего это связано с тем, что пароль ты несколько раз таки вводил и при этом о нем задумывался, а порт - просто набор циферок, который мозг не включает на ассоциации. Цифры ты везде печатаешь постоянно, а пароли руки сами запоминают.

BaBL ★★★★★
()
Последнее исправление: BaBL (всего исправлений: 1)
Ответ на: комментарий от BaBL

Порт не простой, а 4-5 значный будет. А серверов пара десятков

4 цифры запомнить — это сложно? Срочно к врачу. И нахрена на каждом сервере другой порт иметь? Смысл смены порта — избежать тупых попыток по стандартному порту, если сканер ищет, на каком порту ssh, то он на любом его найдёт, так что подход один сервер — один порт ничего не даст, вполне достаточно на всех своих компах иметь один, но нестандартный, порт.

redgremlin ★★★★★
()
Ответ на: комментарий от BaBL

Если пароль нормальный, то его будет тяжело запомнить, а значит ты его куда-нибудь запишешь (хотя бы в какой-нибудь KeePassX), а раз так, то почему бы не сохранить на диск сразу SSH-ключ. Тем более, что на ключ можно поставить пароль. От посыпавшегося диска спасут бекапы.

KivApple ★★★★★
()
Ответ на: комментарий от BaBL

Есть такой вид памяти называется «muscle memory», по русски наверно ближе всего «моторная память».
Вот например история с reddit:

I work at an IT Helpdesk and have people give me their password an average of a couple times a day. I'd say about 15-25% of the time when I ask them for their password, they give me a blank stare for a second or so then glance quickly at my keyboard (sometimes a little embarrassed). I instantly know they don't know their password unless looking at a keyboard, so I move my keyboard in front of them so they can see the letters.

У человека работает сразу несколько видов памяти, при запоминании.

anonymous_sama ★★★★★
()
Ответ на: комментарий от BaBL

Ты ведь «У Лукоморья дуб спилили,

Это correct horse battery staple. А

пробелы меняю на цифры

не слишком запоминается. Хотя если цифры неслучайны — ок.

x3al ★★★★★
()
Ответ на: комментарий от TEX

Странные какие то хакеры, обычные используют

Это были другие времена :)

KRoN73 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.