SSH Blocked My IP

странно, ты так и вбил 12121212? или вставил правильный айпишник?

Это просто пример, вставил айпи, но этого айпи пропустил один цифра

AllowUsers *@82.149.***.9 вставил такой айпи должен быть AllowUsers *@82.149.***.29

правило настройки ssh на удаленной машине:

1. коннектишься
2. настраиваешь
3. рестартуешь sshd
4. не разрывая соединения, коннектишься вторым подключением, проверяешь настройки
5. если после применения настроек второй коннект удался, то можно первый (который был до изменения настроек) разорвать
6. если второй коннект не удался - откатываешь настройки

поменяй местами пункты 4 и 2

ССЗБ. Виртуальная консоль через web-интерфейс есть-то хоть?

Вот нафига так делать? Чтобы безопасно использовать парли вроде qwerty? Ставишь пароль E26pEqHbnaIJxBZGaHYO89odI9bw4F, сохраняешь его в менеджере паролей, любуешься тем как боты пытаются сбрутить этот пароль. А если у тебя вдруг IP поменяется? Ты уверен что твой провайдер дествительно не имеет права так сделать, а не «раньше так не делал»?

Подключайся по IP KVM или что там предоставляет хостер. Либо проси хостера загрузить сервер/виртуалку системой для восстановления

web-интерфейс нет, ftp тоже не подключается

Не надо ничего менять, все правильно написано.

И бэкапов нет?

Молодец, теперь тебя забанят.

На случай непредвиденных ситуаций можно ещё в крон засунуть скрипт, возвращающий старые настройки.

Если сервак у хостера нормального, то там должны быть всякие тулы для восстановления или удалённого подключения. Если нет, то только ножками топать. А вообще, идея из разряда как выстрелить себе в ногу. Как вариант можно ещё поштудировать разные CVE на предмет удалённого получения контроля и воспользоваться ими, но шансы такие себе. Не стоит оно тех усилий.

любуешься тем как боты пытаются сбрутить этот пароль

После того, как я посмотрел на свежесозданной VPS файл /var/log/auth и ахнул, сколько же кулхацкеров на нее ломятся, я взял за правило держать SSH не на дефолтном 22-м порту, а на другом. И авторизация не по паролю, а по ключу.

посмотрел [..] ахнул [..] держать SSH не на дефолтном 22-м порту, а на другом

Ещё один без брода в воду. Где вы берётесь такие?

Можно ли исправить удаленно?

Можно.

• Если root server по-дороже, то там обычно есть IPMI.
• Если по-дешевле, то поросить хостера подключить KVM.
• Если virtual server, опять таки тикет к хостеру.

И больше так не делать.

А что не так? Большинство - это боты, в скриптах которых прописаны стандартные порты, куда им следует ломиться. Если сервис расположить на нестандартном порту, то и ломиться туда практически не будут. Не станут же эти боты сканировать весь диапазон портов у каждого сервера, это займет слишком много времени.

но этого айпи пропустил один цифра

будь мужиком, ну! найди, купи тот адрес и зайди на свой сервер like a boss! :-D

А теперь глянь error.log nginx, ахни и перенеси его со стандартных портов.

Ты боишься что боты перебирающие топ1000 логинов и паролей сбрутят твои логин и пароль? У меня для тебя плохие новости

В том, что это в лучшем случае «лечит» симптомы. Но на самом деле просто гомеопатия.

Во первых с точки зрения безопасности это не даёт ровным счётом ничего. Криптостойкость зависит от ключа, а не количества попыток.

Во вторых у «мясных мешков» очень скудная фантазия и о таких чудесных «альтернативах», как 2200, 2233, 8022 и т.д. боты прекрасно осведомлены.

Ты боишься что боты перебирающие топ1000 логинов и паролей сбрутят твои логин и пароль? У меня для тебя плохие новости

Тебе было бы приятно, если бы в твою квартиру, пусть даже надежно запертую, круглосуточно стучали разные темные личности, пытались подобрать ключ? Мне было бы неприятно. И для сервака в том числе.

В том, что это в лучшем случае «лечит» симптомы. Но на самом деле просто гомеопатия.

Разумеется. Поэтому для окончательного «излечения» я выбираю авторизацию по ключу, а авторизацию по паролю убираю.

Во вторых у «мясных мешков» очень скудная фантазия и о таких чудесных «альтернативах», как 2200, 2233, 8022 и т.д. боты прекрасно осведомлены.

Не угадал. Я вообще использую такое число, которое имеет ассоциацию только для меня, а для других оно представляется как рандомное.

Было бы неприятно, шум мешал бы. Для шума у меня есть сосед с перфоратором. Но ведь в случае с ssh достаточно просто не смотреть в логи. Ну или смотреть и ржать с ботов перебирающих свои QwErTy1

Мне было бы неприятно. И для сервака в том числе.

Не надо одушевлять машины. Им это не нравися. ©

т.е. парольная авторизация у тебя вообще вырублена, но брутоботы тебя всё-равно нервируют? Это к психиатру

fail2ban настрой еще

Но ведь в случае с ssh достаточно просто не смотреть в логи.

Отличный совет от админа локалхоста

Предлагаешь читать auth.log чтобы… чтобы что? Чтобы чувствовать себя крутым админом который следит за сервером? Чтение логов как-раз занятие для админов локалхоста, в боевых условиях серверов обычно слишком много (больше одного) и мусора в х логах слишком много чтобы мониторить эти логи вручную. Мониторить сервера должна автоматика, человек должен читать агрегированную ей инфу. Когда кто-то подключается к моему серверу этот сервер отправляет мне письмо о том что с IP такого-то по ssh подключился юзер такой-то. И в отличии от чтения логов постфактум (или ты предлагаешь круглосуточно втыкать в выхлоп tail -f?) письмо отправляется сразу после подключения и потенциальный хакир уже не сможет с ним ничего сделать, даже если получит рут.

В прочем в случае с «читаю логи и ахаю» уж лучше вовсе никак не мониторить auth.log, чем читать его хвататься за сердце. При нормальном пароле или ключе риск взлома пренебрежимо мал по сравнению с лишней нагрузкой на психику

у админов на серверах просто нет входа по логину-паролю, он отключен. для этого есть ключи. и не надо следить, кто там «ломится» в ssh.

Нервам Rinaldus это, очевидно, не помогает

это поначалу у админов локалхоста такая паранойя возникает. потом это проходит :)

Т.е. ты считаешь, что проще отфильтровывать нужную инфу из мегабайт дерьма, чем одной опцией в конфиге отсечь эти самые мегабайты дерьма? Ты странный.

Когда кто-то подключается к моему серверу этот сервер отправляет мне письмо о том что с IP такого-то по ssh подключился юзер такой-то.

локалхост детектед

Ты же вроде профессианальный админ? А советы даёшь на уровне того самого

локалхост детектед

Зачем вообще фильтровать дерьмо? Есть инструменты для отлавливания логинов (при чём не только через ssh).

ssh на нестандартном порту это либо картонка закрывающая дырень вроде root:qwerty, либо психотерапия, ну либо способ сэкономить место уменьшив количество мусора в auth.log (:

Ну расскажи, в чем смысл логирования бессмысленной информации?

Это способ уменьшить количество мусора в логах, только и всего. Повторю свой вопрос: «зачем писать дерьмо, если его можно не писать?» Или у тебя какие-то глубокие психологические проблемы с sshd на нестандартном порту?

зачем писать дерьмо, если его можно не писать? Затем чтобы уменьшить количество информации о системе которую надо помнить/хранить/передавать. За тем же зачем хранить файлы по предсказуемым путям. Принцип наименьшего удивления.

Для тебя она бессмысленна. А для дебага важна. Логи не для того пишут, чтобы в них пялится без дела.

То что парзанием логов пытаются субститировать отсутствие нормального IPC, разговор отдельный.

пропустил один цифра

ясно - понятно

Для дебага чего? Того, что боты по словарям брутят пароли?

Затем чтобы уменьшить количество информации о системе которую надо помнить/хранить/передавать.

Сколькими серверами ты управляешь? Почему никто до сих пор не рассказал тебе о системах управления конфигурациями?

MrClon и beastie дело говорят

Наличие средств прощающих хранение и обработку необходимой информации о системе не повод увеличивать количество этой информации. Не нужно привносить в систему дополнительную сложность без нужды

Сколькими серверами ты управляешь?

Прям, как в том анекдоте про психотерапевтов.

Коллега, мы же профессионалы. Давайте просто достанем и померяемся.

;)

Для дебагга самого приложения. То, что мамкины хацкеры используют выхлоп дебаггера не по назначению не беда приложения.

А ещё лучше вместо пароля авторизацию по ключу.

В любом случае не вижу смысла во всех этих кулхацкерских защитах. Если стоит длинный пароль с высокой энтропией или вообще ключ, то никто никогда твой пароль не сбрутит. А озабоченные админы, ставящие кучу дополнительных ограничений потом сами огребают, когда что-то внезапно идёт не так.

А что такого в логах то? Ну пусть ломятся, мне не жалко. Если пароль нормальный или тем более авторизация по ключу, то шансов что-то сделать у ботов нет. Какие проблемы?

Аналогия некорректна. Дверь в квартиру можно физически высадить. Ключ SSH подобрать невозможно (во всяком случае если учесть ограничения реального мира). Плюс такая аналогия сразу на подсознательном уровне заставляет построить логическую цепочку «у меня за дверью стоят непонятные люди, мне придётся встретится с ними, когда я пойду в магазин». Ну и дверь поцарапать могут, плюс шум.

Ну не логгируй.

Если ты единственный юзер, то логи SSH вообще не имеют смысла. Если стоит нормальный пароль/ключ, то пусть боты хоть миллион раз попытаются зайти с qwerty - их это не приблизит к успеху. Если же взломщик откуда-то раздобудет твой ключ, то он первым делом почистит логи и ты опять же ничего не узнаешь.

Если юзеров много (и тебе важно контролировать кто когда и куда логинился), то ты будешь грепать только успешные авторизации и опять же неуспешные не имеют никакого значения.

Но большинству людей проще просто оставить дефолтные настройки логгирования и никогда не смотреть туда (в отличии от других сервисов логи SSH при грамотной настройке практически бесполезны).