LINUX.ORG.RU
ФорумAdmin

Сервер стал требовать пароль

 , , , ,


1

2

Привет! Вчера купил VPS с Ubuntu 18.04 и настроил SSH, то есть: сгенерил ключик ssh-keygen -t rsa, отправил его на сервер ssh-copy-id root@[айпишник], он спросил пароль, как и положено. После этого я коннектился к нему без пароля.

Сегодня коннекчусь, а он спрашивает пароль! Более того, когда я ввёл правильный пароль, он отшил меня:

Permission denied (publickey,password).

Почему это происходит и как это пресечь? chmod 600 ~/.ssh/authorized_keys должен помочь?

P.S. Зайти на сервер – не проблема, он доступен через веб-консоль провайдера.

Оставил вход по паролю от рута - ССЗБ.

Еще теперь подарки от взломщика по системе, создавай дополнительного юзера, включай логин только по ключу и отключай логин от имени root по ssh.

Возможно, что тебе проще будет накатить систему заново.

Radjah ★★★★★ ()

Перенакатывай пока тебе хостер ограничений не напихал. И настраивай как уже написали выше, или хотя бы пароль ставь очень сложный и длинный.

mandala ★★★★ ()
Ответ на: комментарий от Radjah

включай логин только по ключу

Это понял, спасибо. А всё остальное - почему и зачем? Или где про это почитать можно?

fingolfin ()
Ответ на: комментарий от beastie

От куда вы такие безграмотные берётесь?

А от того, что вы, грамотные, не пишете. Я почитал несколько статей про настройку SSH, да и настроил. Откуда ж я знал, что они все ламерами написаны?

fingolfin ()
Ответ на: комментарий от fingolfin

Да, скорее всего, хостинги под постоянным брутом. fail2ban уже советовали, присоединяюсь. Нестандартный порт тоже можно, для удобства настрой на локальной машине ~/ssh/config

mandala ★★★★ ()
Ответ на: комментарий от beastie

Ха-ха, пришлось мне на однажды перекидывать на нестандартный порт, логи пухли как на дрожжах от брута даже при fail2ban, а там парольный вход (и это нельзя менять).

mandala ★★★★ ()

Как написали выше, скорее всего поломали. А вот как и через что, мы не знаем. Все выше отписавшиеся говорят только про настройки ssh и fail2ban, а может «дырка» и в другом месте.

anc ★★★★★ ()
Ответ на: комментарий от anc

А нам ТС больше ни чего и не сказал. Мы ж не изуверы клещами из него инфу тянуть, работаем с предоставленными данными. Может его через свежую уязвимость в виме сломали, но телепаты в отпуске, лето же.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Рекомендации по X правильные. Но возможно проблема и в Y.
ЗЫ Выше вы написали «хостинги под постоянным брутом» поддерживаю, оно так и есть. Если ТС создал пользователя(который в sudo имеет полные права) «user» пароль вида «111», то ничего удивительного.
ЗЫЫ Вы правы, в libastral нашли недавно баг, а штатные «телепаты» уехали в отпуск.

anc ★★★★★ ()
Ответ на: комментарий от mandala

Спасибо отвачавшим, нужные советы уяснил, логин по паролю отключил.

Остаётся один риторический вопрос. Хостер, как никто другой должен знать, что vps’ки под постоянным брутом. Так зачем он ставит по дефолту 8-символьный пароль? Почему нельзя сразу поставить 128 символов??

fingolfin ()
Ответ на: комментарий от fingolfin

Хостер != твой родитель, да и ты взрослый уже, раз хостинг смог оформить.

Ты же не просишь продавщицу в магазине картошку тебе почистить, а то вдруг ты поранишься, если сам начнешь.

anonymous ()
Ответ на: комментарий от fingolfin

Хостеры по большому счету ориентируются на то что ты сам себе с усами, это VPS – сервер, хоть и виртуальный. Это на шаринге няньканья больше.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от fingolfin

Так зачем он ставит по дефолту 8-символьный пароль?

Ну честно говоря криптостойкий пароль 8 символов + криптостойкий логин, подбирать можно очень долго. Подбирают по словарям обычно. [Остер mode]Заводим логин вида «сорок тысяч обезьян...» и пароль 111, замучаются подбирать :)

Почему нельзя сразу поставить 128 символов??

Можно, но зачем? Вы купили микроволновку, решили высушить там кошку, она умерла. Конечно виноват производитель который не написал в инструкции «не сушите кошек в микроволновке». Надеюсь аналогия ясна.

anc ★★★★★ ()
Ответ на: комментарий от mandala

Хостеры по большому счету ориентируются на то что ты сам себе с усами, это VPS – сервер

Вот-вот и ещё могут по сусалам надавать когда всякие боты полезут непотребство вытворять.
2ТС Вы купили «запорожец», а как ездить на нем не научились. Вас гибоны тормозят, а вы «знать не знаю, мне не объяснили...» так что ли по вашей логике?

anc ★★★★★ ()
Ответ на: комментарий от Radjah

> Оставил вход по паролю от рута - ССЗБ.

Это почему это?

berrywizard ★★★★★ ()
Ответ на: комментарий от anonymous

По существу: советы с перевешивание порта исходят только от школия, которое первый раз в жизни увидело реальный трафик. Происходит скорее всего от непонимания элементарных принципов протокола и работы сети. Авторизация по ключу или, на крайний случай, пароль с достаточной энтропией достаточно, чтобы спать спокойно и не обращать внимания на ботов. Эстеты логов и другие истерички идут лесом. Security by obscurity не работает. Точка.

beastie ★★★★★ ()
Ответ на: комментарий от fingolfin

@mandala, @anc Как вы себе это представляете? Вот сидел хостер, думал за настройки. Думает: «А ну ка поставлю по дефолту 8 символов! Нехрен нянькаться с ними, пусть наступят на грабли». Так что ли? Ну ОК :)

А в остальном мне просто не повезло. Сейчас вбил в поисковик «настройка ssh», вторая ссылка на убунту вики, там всё что нужно написано. А мне попадались другие статьи :(

fingolfin ()
Ответ на: комментарий от beastie

Я порт один раз менял за много лет, почему я писал – парольный вход который нельзя отключать, и я работал с полным выхлопом journald – мне тупо не удобно было. Прод иногда выглядит страшно. Надо, кстати, взад вернуть там, все время забываю.

mandala ★★★★ ()
Ответ на: комментарий от fingolfin

8 символов достаточно обычно, пароль то не словарный – но и не напряжно ввести руками, не 20 символов с закорючками. Ну и как тут уже говорили – прямой брут ssh лишь одна из возможных дыр (но исключать её нельзя) и защититься с этой стороны не мешает ни когда.

mandala ★★★★ ()
Ответ на: комментарий от fingolfin

Я уже писал выше, комбинацию логин + не «словарный» пароль 8 символов подбирать можно долго. Посимвольный перебор бывает, но большая часть ботов все-таки работает по словарю.

Нехрен нянькаться с ними, пусть наступят на грабли

Как бы это не звучало, но в некотором роде так и есть. Выше пример автомобиля и кошки в микроволновке приводил. Вариантов выстрелить себе в ногу в разы больше чем только 8-ми символьный пароль.
Ну и ещё пример, покупаете вы квартиру там картонная дверь и простым замком, менять эту дверь, ставить_другие_замки это уже на ваше усмотрение, квартира ваша, вам и решать.

anc ★★★★★ ()
Ответ на: комментарий от beastie

советы с перевешивание порта исходят только от школия

зато от школия и защищают, точнее оно меньше раздражает

пароль с достаточной энтропией достаточно, чтобы спать спокойно и не обращать внимания на ботов

чтобы спать спокойно этого не всегда достаточно. Да, не взломают, но нагадить могут. Например какое-то время назад проскакивала уязвимость в ssh, которая могла спровоцировать DoS из-за исчерпания оперативы

Security by obscurity не работает

даже fwknop для истеричек будет бесполезен?

anonymous ()
Ответ на: комментарий от mandala

боты школия :)

в моих случаях, при перевешивании ssh на другой порт попытки авторизации продолжались, но их становилось заметно меньше. Могу предположить, что не все боты настраиваются на сканирование портов, видимо результатов и так достаточно.

anonymous ()
Ответ на: комментарий от anonymous

Ну это чисто для себя, смена порта не про безопасность, меня не раздражает, кроме единичного случая который я описал выше.

Ох, да, пойду поставлю на место там, кстати, пока опять не забыл. )

mandala ★★★★ ()
Ответ на: комментарий от anonymous

советы с перевешивание порта исходят только от школия

зато от школия и защищают

А это тут причем? Или вы про «школия» которые уже стали частью ботнет?

даже fwknop для истеричек будет бесполезен?

Это уже разговор про дополнительные методы. Так же как fail2ban является дополнительным методом.
Можно и закрыть ssh, и повесить vpn сервер, доступ только через него будет. Вариантов «обмазать эпоксидкой и три презерватива» чуть больше чем дофига. Только вот простое «перевешивание порта» это даже не «Security by obscurity» как написал beastie, это скорее страусиная политика. Защиты этот метод не дает никакой от слова совсем. Только возможно уменьшит вероятность взлома. Обратите внимание «вероятность», но не сам факт взлома. Вполне реальная история, где-то в марте-апреле переносил хостинговый сервак(мопед не мой), тот кто настраивал повесил ssh на другой порт, и что, небольшое время работы а в логи уже посыпались попытки подключения. Я ещё к тому моменту не поправил dns, т.е. вариант что по hostname долбились исключен. IP новый, порт не стандартный и вот вам «желающие зайти в гости».

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anonymous

в моих случаях, при перевешивании ssh на другой порт попытки авторизации продолжались, но их становилось заметно меньше.

Так и fail2ban отправляющий в пожизненный бан выполнит ровно тоже что вам нужно. Зачем перевешивать? В чем профит?

anc ★★★★★ ()
Ответ на: комментарий от anc

А это тут причем? Или вы про «школия» которые уже стали частью ботнет?

я скорее про настройки ботнетов начинающих

Вполне реальная история...

я этого не отрицаю, просто в МОИХ случаях на другие порты ботов натыкалось несколько меньше. Смена порта — это тоже дополнительный метод, как и все остальное. Упомянутый fail2ban тоже не эффективен в случае атаки с большого количества адресов.

Только возможно уменьшит вероятность взлома

так-то любой метод только уменьшает вероятность взлома, только отключение оборудования может быть эффективным и то не от всего.

anonymous ()
Ответ на: комментарий от anc

смысл fail2ban несколько теряется при атаке с большого числа адресов (это если у нас все же авторизация по паролю). Перебрать 100k комбинаций с десятка адресов это одно, проверить по одной комбинации со 100k адресов, это уже другое. Список правил тоже пухнет.

anonymous ()
Ответ на: комментарий от anonymous

Упомянутый fail2ban тоже не эффективен в случае атаки с большого количества адресов.

«Три» попытки и бан неэффективно? Даже банальные *limit iptables можно применять, тоже рабочее решение, более лайтовое. Но если говорить про ddos как таковой, тут скорее канал вам загадят, и «вигвам» что сделаешь, без помощи прова у которого «канал толще».

так-то любой метод только уменьшает вероятность взлома

Вопрос насколько? Выше написал про «страусиную политику», ну что, начали долбить не на 22 а на 33333, в чем разница? Защиты все равно нет.

anc ★★★★★ ()
Ответ на: комментарий от anonymous

проверить по одной комбинации со 100k адресов, это уже другое.

100k адресов одновременно, положат сервак. Это ddos. А если говорить про подбор то добавьте сюда еще и логин, комбинаций ооочень много. Ну собстно о чем это мы, перевешивание порта же не спасет от этого.

Список правил тоже пухнет.

fail2ban вроде как ipset пользует? Или я ошибаюсь?

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

«Три» попытки и бан неэффективно?

а кто вам сказал, что попыток будет больше одной с адреса?

Но если говорить про ddos как таковой...

тут тогда скорее просто про DoS, например типа CVE-2016-8858 (да, там есть ограничения по проведению и это не совсем по теме)

Вопрос насколько?

зависит от случая, у вас разницы нет, а у меня есть (напомню, что я нигде не говорил, что попытки прекратились, их стало меньше). Почему бы и не поменять?

anonymous ()
Ответ на: комментарий от anc

100k адресов одновременно, положат сервак

никто не говорил, про одновременно.

А если говорить про подбор то добавьте сюда еще и логин, комбинаций ооочень много.

боты обычно ленивые, там обычно проверяется root, admin и иногда support (из того, что видел)

Ну собстно о чем это мы, перевешивание порта же не спасет от этого.

я не говорил, что спасет, я говорил, что может облегчить жизнь (кому-то чуть-чуть и, возможно, не на долго)

fail2ban вроде как ipset пользует? Или я ошибаюсь?

может использовать, по умолчанию не использует (или это зависит от дистрибутива)

anonymous ()
Ответ на: комментарий от anonymous

напомню, что я нигде не говорил, что попытки прекратились, их стало меньше

Одномоментно меньше, а завтра «научаться на новый порт» и будут долбить как и прежде. Немного другой пример, почтарь, домен[ы] с него перенес уже много лет назад, и что вы думаете, продолжают подбирать старые имена которых там давно нет. Т.е. долбят именно на ip адрес на котором не заригистрирован этот домен, он был, но давно. Базы ботнетов «не познаны».

боты обычно ленивые, там обычно проверяется root, admin и иногда support (из того, что видел)

Об этом и речь. Не пользуйте логины alex и тому подобное. Боту будет сложнее.

я говорил, что может облегчить жизнь (кому-то чуть-чуть и, возможно, не на долго)
возможно, не на долго

Именно, мы возвращаемся к теме что перевешивание порта ssh не является защитой, только вариант страуса, не более того.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от mandala

там не совсем для себя было. У одного из «клиентов» были трудности с подключением т.к. ему не хватало сессии из-за ботов (а MaxSessions он себе поставил такой, что vps начинал падать). Это был единственный вариант, на который он согласился и, минимум на пол года, ему этого варианта хватило.

anonymous ()
Ответ на: комментарий от anc

Именно, мы возвращаемся к теме что перевешивание порта ssh не является защитой, только вариант страуса, не более того.

да я вроде и не говорил, что оно является (разве что в контексте «от школия»)

В общем, я то самое школиё, которое будет продолжать менять порт в случае невозможности или затрудненности использования других, более удобных мне методов (но в качестве не основного, а дополнительного решения)

Спасибо за беседу.

anonymous ()
Ответ на: комментарий от anonymous

ЗЫ

Спасибо за беседу.

В завершение беседы. Выше писал про *limit, банальный hashlimit может увеличить время подбора от ботов до «космических» величин. Конечно опять-таки все зависит от пары username+passwd. Если это user+111 шансы на взлом весьма велики. :)

anc ★★★★★ ()
Ответ на: комментарий от mandala

Я не хостинг, но стоит мне на роутере включить прямой IP вместо NAT, как в журнале сразу куча сообщений о неудачном логине по SSH. Пару раз даже успешно взломали 0_o

А ведь ещё в 2009 году я заходил с прямым IP в инет, и всё норм было, никто не пытался войти в мой комп по ssh...

А что за запрет входа по паролю рута? Это какой параметр? Могут ли меня ломануть, если я это настрою - ну например, через незакрытую уязвимость? Даже не 0-day, учитывая, как я редко обновляю софт.

ZenitharChampion ★★★★★ ()
Последнее исправление: ZenitharChampion (всего исправлений: 3)
Ответ на: комментарий от ZenitharChampion

А что за запрет входа по паролю рута? Это какой параметр?

lol

PermitRootLogin no

И запрет пароля вдогонку:

PasswordAuthentication no

Могут ли меня ломануть, если я это настрою - ну например, через незакрытую уязвимость? Даже не 0-day, учитывая, как я редко обновляю софт.

Да, последнее, с пылу, с жару – CVE-2019-10149 в Exim вплоть до версии 4.91 включительно. массовые атаки после публикации CVE, миллионы уязвимых систем до сих пор.

mandala ★★★★ ()
Ответ на: комментарий от ZenitharChampion

А что за запрет входа по паролю рута? Это какой параметр?

Да, называется PermitRootLogin, и давно по умолчанию в sshd запрещено, если только сами не пропишите параметр.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.