LINUX.ORG.RU

на дефоултной ubuntu для root для пароля из 9 символов

Заблокируй авторизацию для рута совсем. И, возможно, по паролю тоже.

Подобрать реально.

nihirash ★★★
()

Вероятность подобрать 100%, вопрос времени.

kravzo ★★
()

раз китайцы подбирают значит высокая

anonymous
()

Разумеется, зависит от метода и типа «взлома». Если протокол SSH-2, то хэш самого пароля (на текущий момент) злоумышленнику не получить, а это > удаленный перебор. Подели на скорость соединения и кол-во одновременных попыток ~= никогда. Если можно вытянуть хэш, то 9 символов ASCII ~3 часа на нормальной GPU.

VVL-
()
-A INPUT -m recent --update --seconds 60 --rsource -j DROP
-A INPUT -m recent --set --rsource
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

в iptables, MaxAuthTries 1 в sshd_config и вероятность что пароль подберут сильно уменьшается
в этом случае при неуспешном введении пароля (установке соединения) адрес попадает в бан на 60 секунд, и продлевает его при последующих попытках подключиться

Deleted
()
Ответ на: комментарий от entefeed

Не любая конфигурация допускает ключи. Есть реальные жизненные ситуации (скриптовая обработка мини-сервера со старого телефона), когда возможен только пароль.

VVL-
()

а ещё лучше в дополнение отключи логин для рута
китайцы обычно подбирают пароли для всяких root, admin etc
ну, и пользуйся ключами по возможности

Deleted
()
Ответ на: комментарий от Deleted

MaxAuthTries 1 в sshd_config и вероятность что пароль подберут сильно уменьшается

в этом случае при неуспешном введении пароля (установке соединения) адрес попадает в бан на 60 секунд, и продлевает его при последующих попытках подключиться В этом случае очень увеличивается вероятность, что ты сам по ssh не нормально не зайдешь

VVL-

Не любая конфигурация допускает ключи. Есть реальные жизненные ситуации (скриптовая обработка мини-сервера со старого телефона), когда возможен только пароль.

Тут сам себе придумываешь проблемы/задачи, и кое-как решаешь. Даже dropbear умеет в ключи, c 2fa да, там посложней, и как правило не очень нужно

на дефоултной ubuntu для root для пароля из 9 символов (_цифры и буквы в разных регистрах). пароль не словарный

pasSw0rd8
Да легко подберут, пароль как раз пока я его не написал был не словарный и под твое описание подходит

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Да легко подберут, пароль как раз пока я его не написал был не словарный и под твое описание подходит

Доктор, а пароль

46cfb99e48c168b8f@3)_(fb32e1c58db8
безопасный и не словарный же?

nihirash ★★★
()
Ответ на: комментарий от Jopich1

В голове мусор хранить не нужно, для этого есть коплюктеры. Вот потому то у вас телефоны и старые, что голова мусором забита и нормально зарабатывать не может.

entefeed ☆☆☆
()
Ответ на: комментарий от anonymous_sama

В этом случае очень увеличивается вероятность, что ты сам по ssh не нормально не зайдешь

Сделай 3, 4, или больше разрешённых попыток подряд, в чём проблема-то ?

AS ★★★★★
()
Ответ на: комментарий от AS

Ну это нормально, хотя бы я бы десять хотя-бы оставил. 3-4 раза вполне можно ошибиться. Меня правда чаще fail2ban/sshguard уносил по времени, пока 2fa не исправили нормально работу сразу с несколькими серверами в pam модуле.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Тут сам себе придумываешь проблемы/задачи, и кое-как решаешь. Даже dropbear умеет в ключи, c 2fa да, там посложней, и как правило не очень нужно

Dropbear - да, но это сторона сервера. Я про сторону клиента - вот попробуй ключи обработать на 2-3-4 версии Android с ядром 2.2 и без криптоядра.

VVL-
()
Ответ на: комментарий от anonymous_sama

В этом случае очень увеличивается вероятность, что ты сам по ssh не нормально не зайдешь

зная эту особенность, проблем быть не должно. во всяком случае, у меня организовано подобным образом, всё устраивает

Deleted
()

если не из словаря, то брутфорсом по сети не реально.
каждая попытка даёт 100-200 байт в логи.
100 попыток в секунду - относительно низкая скорость для перебора даст 1.5-2гб лога в сутки - наверняка администратор такое заметит.

а боты через китайские прокси подбирают с легкостью словарные популярные пароли.

bl ★★★
()

44 min 15.5 sec

/thread

anonymous
()
Ответ на: комментарий от Pinkbyte

Cледует ли считать все пароли длины <n скомпрометированными в случае выкладывания в сети полного набора печатных ascii комбинаций, или это действие наоборот, обнуляет факт компрометации всех паролей сразу?

vaddd ★☆
()
Ответ на: комментарий от targitaj

Интересно, вероятность чего выше — успешного брутфорса нормального пароля или того, что участник ботнета окажется с тем же IP, что и владелец сервера (например, если интернет через мобильник)?

x3al ★★★★★
()

Аналогичный вопрос, но не по ssh, а для LUKS. При условии физического доступа злоумышленника к харду.

te111011010
()
Ответ на: комментарий от targitaj

Нормальный случайный пароль ботнет будет подбирать до тепловой смерти вселенной. А хозяина сервера fail2ban быстро забанит, если кусок брутфорсящего ботнета случайно окажется на одном IP с ним.

x3al ★★★★★
()
Ответ на: комментарий от x3al

А хозяина сервера fail2ban быстро забанит, если кусок брутфорсящего ботнета случайно окажется на одном IP с ним.

ЧИВО??

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

Чиво. Шансы заблокировать себя fail2ban'ом выше, чем шансы подобрать пароль китайцу. И это не говоря о ключах.

x3al ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.