Угроза взлома по ssh

Установлен простой пароль

для удобства входа в систему

Для удобства входа в систему и прочего используют ключи.

Вход в систему, я имею ввиду, в иксы, а не через терминал.

Защита дефолтная. Таймаут после каждой попытки ввода неверного пароля и сброс соединения после трёх попыток. Перебор будет легко заметен в логах.

Простейший способ защиты - перевесить sshd на другой порт.

Чуть сложнее - запретить вход по паролю, использовать ключи.

Ещё чуть сложнее - поставить fail2ban.

Ещё сложнее - настроить port knocking.

Можно комбинировать перечисленные способы или включить максимальный уровень паранойи и настроить все сразу.

А я имею в виду ssh.

В виртуальной машине

Зная внешний IP-адрес

У тебя виртуалка в DMZ что-ли?

Можно запретить вход по паролю в sshd, он останется доступен при логине в иксах.

Пока что не знаком с этим термином «DMZ», сейчас читаю об этом.

Просто виртуалка Virtualbox на моём же компе, с «bridge-адаптером», видится на роутере как отдельный комп.

А на роутере прокинут порт извне на твой ссш в виртуалке?

Спасибо, совет звучит очень просто и эффективно. Сейчас погуглю, как это сделать.

Нет, специальных настроек портов на роутере для этой машины я не делал. Я думал, что по дефолту SSH доступен извне. Это не так?

Я полагаю, у тебя NAT.

Просто так при этом снаружи в ssh не попасть. Надо на роутере настроить проброс порта 22 IP твоей виртуалки на какой-нибудь порт (желательно не 22, как рекомендуют выше) роутера.

Это если, конечно, ты хочешь, чтобы снаружи можно было зайти.

Просто виртуалка Virtualbox на моём же компе, с «bridge-адаптером», видится на роутере как отдельный комп.

Она недоступна «из-вне», ещё про NAT можно почитать, про проброс портов, и вообще, как работает адресация IP:PORT.

Спасибо за информацию.

Ещё небольшой вопросик. Обнаружил, что у меня файл /etc/ssh/ssh_config есть, а самой службы sshd нет.

Проверял список служб через

sudo systemctl –full –type service –all

Как это понимать?

Это, если память меня не подводит, конфиг клиента ssh.

Конфиг сервера называется sshd_config.

Возможно, ты не выбрал опцию ssh сервера при установке системы. Можешь установить сейчас, пакет называется openssh-server.

Верно, спасибо за ликбез. openssh-client у меня стоит, а openssh-server - нет.

защита от такого

защита от такого только одна - порты не должны наружу торчать

Торчат, но вручную указанные неспецифические порты, для работы торрент-клиента.

торрент

это другое - ты же про ssh говорил, торрент пусть торчит, а ssh если нужды нет то лучше не надо.

Зная внешний IP-адрес, может ли гипотетический взломщик заняться брутфорсом пароля для доступа к моему терминалу по ssh?

Да.

Если риск есть, то хотелось бы получить от вас рекомендации по защите (помимо установки сложного пароля).

Отключить аутентификацию по паролям в sshd, оставить только аутентификацию по ключам.

Для удобства входа в систему и прочего используют ключи.

Нормальный пароль, который нельзя просто так сбрутить, тоже хорош. Правда сейчас подумал, защищает ли в этом случае он от mitm-атаки. По идее нет ведь как для https сертификатов, так что возможно.

Да.

По-моему риск брутфорса преувеличен. Если пароль достаточно длинный и не подбирается из словаря, то практически хрен его кто сбрутит.

Нормальный пароль, который нельзя просто так сбрутить

По себе скажу, что такой пароль - ненормальный. ) Если его запоминать.

Пароль, который не подбирается, надо генерировать так: base64 < /dev/urandom | head и берёшь оттда случайные 16 знаков подряд. Если будешь «придумывать» сам, то может оказаться что он словарный, а ты об это и не знаешь.

Нормальный - это какой? 30 символов? И что, каждый раз его вводить? А если серверов 10? Длинный сложный пароль может и не менее безопаснее чем ключ (хотя не факт), но уж точно менее удобен.

можно ещё так:

pwgen -s -y 16

Ещё чуть сложнее - поставить fail2ban.

Установка fail2ban это натурально одна команда: apt install fail2ban, дефолтный конфиг вполне вменяем. ИМХО, проще уже некуда

вообще, есть менеджеры паролей, ни к чему пароли от 10 серверов в голове хранить

Я бы еще посмотрел в сторону настройки файрвола, чтобы не весь мир мог достукиваться до порта ssh.

Зачем этот костыль? Если можно один ключ использовать?

Зная внешний IP-адрес, может ли гипотетический взломщик заняться брутфорсом пароля для доступа к моему терминалу по ssh?

Не просто может, а обязательно займётся. А если ещё и порт 22 при этом, то он уже знает твой внешний IP. Ботов, постоянно «простукивающих» всё подряд — тьма.

Установлен простой пароль для удобства входа в систему.

Значит, гипотетический (а скоро и реальный) взломщик будет успешен.

Или в Debian предусмотена защита от такого?

Она не в дебиане предусмотрена, а вообще в ssh: не используй пароли (тем более простые!), используй ключи.

порт сменить + fail2ban

Да, для ssh конфиг fail2ban действительно вменяем. Но вцелом дефолтные конфиги fail2ban как правило дурацкие и плохо читаемы.

12 за глаза. В принципе и 4 хватит, никто там не перебирает пароли реально, просто пробуют всякую лажу вроде root, toor, 123456 и ТД.

Желательно всё-таки в конфиге увеличить время бана, до часа хотя бы. Мне встречались упорные дятлы, которых дефолтные 10 минут не останавливали. А ещё лучше забабахать почтового бота, который бы на основе репорта fail2ban автоматически добавлял к iptables/netfilter правило, направляющее траффик с соответствующих диапазонов адресов в TARPIT.

никто там не перебирает пароли реально

Перебирають еще как. Был у меня сервер, там постоянно на 22 порт ломились.

хых. дятлы обычно не упорные.
а вот ботам вообще похеръ. один долбился месяца-два подбирал пароли :) дебил

еще меньше понимаю применение менеджера паролей для ssh.
коль пароль неэпически сложон для запоминания и сгенерен специальной программкой, то это получается тот же ключ, только меньше и проще и через одно место вставленный…

Ну ты смотрел, какие там пароли пробуют? Так-то ломятся на любой сервер с публичным адресом. Я как-то смотрел - ничего, похожего на перебор там не было. Тупо пробовали всякие видимо популярные логины и пароли.

Там были не только 12345. Всякие 3hd7tdk тоже.

И кстати, если не было. То почему ты думаешь, что не будет? Перебрать 4 символа реально.

Ну пусть перебирают по пять паролей в пять минут (или какие там дефолтные параметры), сколько там тысяч лет в среднем у них уйдёт чтобы сбрутить pwgen -10As 5?

Установлен простой пароль для удобства входа в систему.

Азахахахахахахаза ахазахаха хааахахазаза.

Дальше не смог читать.

Установлен простой пароль для удобства входа в систему.

Для удобства взломщика?

В конфиге sshd надо поставить запрет на вход по паролю. Иксы тут вроде не причем, на них это не повлияет.