аналог denyhost?

fail2ban, sshguard

Для защиты от брутфорса используют отключение парольной аутентификаци и переход на аутентификацию по ключу. :)

у меня по ключу, просто хотелось бы побанить хацкеров

Чтобы правила пораспухали от айпишников ?

fail2ban тяжеловат показался, а sshguard кажется что-то в iptables пишет, в нем разве рационально списками ip банить?

18 год.... смените порт...

Вредный совет, если не уметь готовить.

Если менять, то надо вешать на привилегирвоанный порт, а это не всегда просто, так как можно занять что-то нужное.

Чтобы что?

чтобы к портам не коннектились, они же все порты перебирают

Ну и что? У меня sshd на стандартном порту, парольная аутентификация выключена. Единственный эффект - в логах записи. Не очень беспокоит.

Как будто енто что-то меняет.

Не актуально, ссш трафик с левых айпишников не должен доходить до сервака.

IPtables легко задосить кстати.

То есть смена порта по вашему - не избавит от перебора пароля ботами???

Нэть. Можешь попробовать и посмотреть логи. Может во времена диалапа смена порта и срабатывала вместо фаервола, но щас как-то не очень. По крайней мере я не вижу разницы в количестве стучащихся ботов. Посканить порты может каждый школьник.

Ну у меня на сервере порт на ссш установлен 40xxx какой-то, активности ботов не наблюдаю с момента смены порта. (6+ месяцев ), аналогичная ситуация и на других серверах.
Кому как, а мне смена порта + fail2ban хватает с избытком.

18 год, а этот совета кусок еще всплывает...

Кому как, а мне смена порта + fail2ban хватает с избытком.

И одно из этих слагаемых много бестолковее другого.

Ну просвяти раз такой умный, или ты только в лужу пукнуть гаразд?

Бггг) Джуны такие милые.

А если серьезно, для ненужного локалхоста личного бложика такого может и хватит, но в продакшене твой «хитроумный» порт абсолютно ничего не меняет, а iptables отправят сервак в своп если ресурсы маленькие + ботов много + слишком много правил в iptables.

Пока не перенесла свой локалхост на амазон, мой нестандартный порт находился ботами практически сразу и на fail2ban им было пофигу, один ip банится, другой сканирует. Енто на сервачке с двумя десятками посетителей в день максимум, в продакшене с нормальным трафиком, твой iptables тебе выльется в лютый звиздец.

И? Посвяти меня джуна, чем нынче модно от ботов спасаться?
Или ты тоже, лишь бы в лужу пукнуть не по делу?

Security by obscurity тебя защитит ровно на незнание порта, а порты сканируются. Потом все равно fail2ban/sshguard, который реально защищает, так что смысла в твоей мере «безопасности» исчезающе мало, одни неудобства самому себе же.

Тут такое дело,А есть какая-то оценка на то, сколько раз тебе на разный лад разжевывать довольно немудреные истины или ты бесконечно будешь юзать фразу «лишь бы в лужу пукнуть» как оберег от включения мозга?

Ну мне смена порта неудобств не доставляет , fail2ban как стоял так и стоит же, я просто не понял к чему был ваш высер выше?

И одно из этих слагаемых много бестолковее другого.

Тебя никто ничего разжевывать не просил, высрал свой высер, а ничего нового ты мне так и не посоветовал.

Смена порта как псевдомера безопасности много бестолковее установки fail2ban/sshguard. Настолько, что пользой от нее можно пренебречь.

И на будущее, в приличном обществе не принято реагировать на собственное непонимание агрессивными сочинениями на анально-фекальную тематику. Не понял - подумай подольше, все еще не понял - спокойно переспроси.

Очередной высер, я так понял по твоей теме к IT ты имеешь отношение - проходил/щупал/слышал?

Смена порта как псевдомера безопасности много бестолковее установки fail2ban/sshguard. - предложи мне альтернативу), расскажи мне неучу что делать нужно в подобных ситуациях, блесни умом)

Спроксировать через что-нибудь, nginx например, и на проксе настроить

На вопрос, как обезопасить SSH-сервер я ответил. А «ничего нового» я тебе и не обещал, да и не может быть ничего нового в совете «не делай так, от этого нет существенной пользы», который в этом треде и так уже прозвучал раза три.

Хочешь чего-то нового? Ты - зашоренный, необоснованно самоуверенный молодой человек с еще вдвое более молодой культурой общения. Перестань давать вредные советы, ведь однажды, когда научишься либо думать, либо слушать, может стать стыдно.

Премного прошу прощение за грубость, а где собственно ответ как обезопасить SSH-сервер я ответил. (с) ? ( Еще раз прошу прощения, может я уже ослеп нахер?)

к IT ты имеешь отношение - проходил/щупал/слышал?

Ага, ну разве что преподаю еще. Сети, например, четвертый год как.

Смена порта как псевдомера безопасности много бестолковее установки fail2ban/sshguard. - предложи мне альтернативу), расскажи мне неучу что делать нужно в подобных ситуациях, блесни умом)

Установить fail2ban/sshguard без смены порта. Расскажи лучше ты нам то, что реально непонятно - как это можно было и не осознать, и не услышать, за столько-то повторений?

Непонятно к чему ты написал вот это:

18 год, а этот совета кусок еще всплывает...(С)

Что плохого в смене стандартного порта + установленный fail2ban/sshguard ?

мои:

аналог denyhost? (комментарий) (слишком тонким, как выяснилось, намеком) аналог denyhost? (комментарий) (помимо полного объяснения нижележащей логики приведено противопоставление развертыванию fail2ban/sshguard)

и теперь еще и

аналог denyhost? (комментарий) (прямее уже некуда)

не мои:

аналог denyhost? (комментарий) (заметь «вместо фаервола»)

Что плохого в ненужном действии не повышающем безопасность кроме как through obscurity (т.е. эффективно никак), но требующем дополнительной настройки на сервере и всех клиентах? Особенно если все равно от перебора все равно защищает действительно полезная мера безопасности?

Да ненужность же.

Ну к сожаления а может и к счастью - мне пока так не везло, у меня порты повторно боты не просканивали. Если сильно приспичит сервер задолбать, то уж тут вообще ничего не спасет.

Да не в этом дело. На вопросы безопасности смотреть надо несколько иначе.

Твое анекдотичное «мне пока так не везло» не котируется не из-за твоей выборки и не из-за наличия в природе столь же неважного и анекдотичного противоположного мнения «мой нестандартный порт находился ботами практически сразу» (Murg), а потому что важна в первую очередь теоретическая возможность атаки, далеко после нее ее практическая целесообразность, и только потом текущая распространенность.

Fail2ban «защищает» от перебора, делая его нецелесообразным. Твою же смену порта можно массово раскрывать пренебрежимо быстрым в сравнении сканированием портов. И написать скрипт, который это автоматизирует - плевое дело. Итого мы имеем безопасность уровня «дорого и долго, но можно» против уровня «а меня не сканируют, конкретно мои атакующие поленились». Да, принцип «дверь должна выглядеть крепче, чем у соседа» статистически уменьшит шансы на ограбление, но по сравнению с реально предотвращающими доступ мерами прям-таки абсурден.

Другой пример из той же оперы: страшно подумать, что было бы, если, например, криптографические алгоритмы отправляли на пенсию не после доказательства сокращения пространства перебора, а когда на реальной, готовой и «дешевой» атаке обжегся бы каждый второй ford1813. Так дела не делаются.

Дык, выше писала же...

ссш трафик с левых айпишников не должен доходить до сервака.

В случае облаков, какой нибудь security group, в случае физического сервака, какой-нибудь сиськой (или что там у тебя перед серваком стоит), если сервак в кластере, то у него вообще нет внешнего айпишнега, а заходят на него через какой нибудь обезопасенный джамп.

Если все енто невозможно, велосипед всегда спасёт. Тут какой-то чел, слал письмо со своим айпишнегом на почту, которую читал серв, а тот открывал порт для полученного айпишника, а для всех остальных айпишнеков, порт был тупо filtered и пытаться залогиниться боты совсем никак не могли.

В общем, зависит на чем ты колхозишь «секурность».

<завернуть в другой протокол спасет>

вот с этим поди поспорь

велосипед всегда спасёт. Тут какой-то чел, слал письмо со своим айпишнегом на почту

Ему про более быстрый и менее палевный port knocking не рассказали? Занятный мрак.

В общем, зависит на чем ты колхозишь «секурность».

Это плохой сценарий, когда секурность колхозят. Не надо такое поощрять. Этот вот порт сменил и заработал лишь геморрой и ложное чувство безопасности, другой поверх развесистой, ненадежной и неконтролируемой сторонней инфраструктуры сделал себе дырень и рад. Как его велик защищен от подделки адреса отправителя? Принципом неуловимого Джо?

Нафиг колхозы.

Почему не рассказали?
Я про с 2011 про port knocking знаю. безопасно ли устанавливать iptables через ssh? (комментарий)

Охотно верю, но только ты тут при чем? Это ты - тот админ с приоткрыванием порта по письму, о котором писала Murg?

Нет, я не до такий степени извращенец, дальше knockd у меня дело не заходило)

Я не писала о заворачивании в другой протокол, я писала о том что боты до сервака доходить не должны, а не быть фильтрованными серваком.

Такое не всегда возможно если твой хостер УГ и сервак смотрит прямо в интернет.

Ему про более быстрый и менее палевный port knocking не рассказали? Занятный мрак.

Я хз, но фаервол через мыло лучше чем тупо открытый порт.

Это плохой сценарий, когда секурность колхозят. Не надо такое поощрять. Этот вот порт сменил и заработал лишь геморрой и ложное чувство безопасности, другой поверх развесистой, ненадежной и неконтролируемой сторонней инфраструктуры сделал себе дырень и рад. Как его велик защищен от подделки адреса отправителя? Принципом неуловимого Джо?

Принципом security through obscurity, тоесть секурность а ля вместо незапертой калитки, калитка на шпингалете. =В

Ну или как-то так

Нафиг колхозы.

+1

Я не писала о заворачивании в другой протокол, я писала о том что боты до сервака доходить не должны

Я о «а заходят на него через какой нибудь обезопасенный джамп.»

Я хз, но фаервол через мыло лучше чем тупо открытый порт.

Это если

1) миру лень думать, как его на этом поиметь. Например смотри - у двух почтовых серверов теперь есть классный лог-след с кучей метаданных: откуда он заходил, куда, когда, из какой таймзоны... Нормально?

2) весь этот велосипед абсолютно надежен. Упадет его явно не супераккуратно написанный демон и не рестартнется - что он делать будет?

В общем случае надо считать, что велосипед хуже, пока не доказано обратное или хотя бы кто-то со стороны это не проаудитил.

Принципом security through obscurity, тоесть секурность а ля вместо незапертой калитки, калитка на шпингалете. =В

Ну да, ОК, потайном шпингалете в самом неудобном месте.

Я о «а заходят на него через какой нибудь обезопасенный джамп.»

и через ВПН и только с корпоративного ноута с антивирем и без розовых пони :D

Если честно не особо их люблю, они могут быть централизованной дырой. Редко где вствечается полная автоматизация, где админам не надо логиниться на серваки, я копаю в ту сторону.

Джамп, одна из хреней, которую легаси админам сложно отпустить.

1) миру лень думать, как его на этом поиметь. Например смотри - у двух почтовых серверов теперь есть классный лог-след с кучей метаданных: откуда он заходил, куда, когда, из какой таймзоны... Нормально?

Ясен пень что не нормально, но миру действительно лень. Зачем его сервак ботам? Майнить, да слать спам. Он не мегасуперпупер архиважная личность. Если ему хотят напакостить, то кто-то близкий, а сферическому хацкиру в вакууме енто не нужно.

Если же он у себя в продакшене такую хрень творит или работает в каокйнибудь крупной конторе, чья инфа кому-то интересна, дело обстоит совсем иначе.

Исходя из вопроса и из того, что последнее обновление у него было в 2016, я все же думаю, что он все же любитель/джун.

2) весь этот велосипед абсолютно надежен. Упадет его явно не супераккуратно написанный демон и не рестартнется - что он делать будет?

ХЗ. Развернуть скриптами новый сервак? восстановить бакап/снапшот? поплакаться саппорту что бы прихреначили КВМ? примонтировать /dev/sda на новый серв и скопировать что нужно? Мысли читать не умею, а он не говорил на чём у него серв крутится.

Я лично вообще проповедую, что потеря серваков не должна ни на что влиять (типо IaС) и свято верю в autoscaling.

Один, два, десяток ip поблочить лучше фаерволлом. Сотню-другую fail2ban плюс смена порта (тоже-самое, но автоматом). При большем кол-ве запросов (скорее всего много большем, замерами не занимался) схватишь ддос при использовании. Вот сиди и считай что выгоднее, 10000 обработанных или столько-же откинутых. З.Ы. С твоего альтернативного порта скорее всего уже какой shodan или censys баннер и отпечаток пакетов снял.

предложи мне альтернативу), расскажи мне неучу что делать нужно в подобных ситуациях, блесни умом)

выключить аутентификацию по паролям и всё.