Недружелюбная убунту

Заказал VPS

если бы я в этом не шарил

Назвался груздем - полезай в кузов.

Взялся за гуж, не говори, что не дюж.

Ну, да, типичное поведение линукса. Прилетели обновления и всё поломали.

Это всё происки проклятых капиталистов. Разработчики убунты в сговоре с хостерами, чтобы ты покупал техническую поддержку, после окирпичивания. Во всем виноват javascript!

Космонавт пытается усидеть и позаигрывать своим южноафриканским задом с комюнити и с корпами. Так не получится. Отсюда все беды. А полноценного разделения убунта/сервер так и не получилось. Не хватает ресурсов. Впрочем, ничего нового.

Ешь медведь татарина - оба ненадобны. 🤣

окирпичил бы VPS

ip kvm должен быть для таких случаев

запретить вход от рута и вход по паролям

В debian по дефолту уже несколько версий так и в последнем centos вроде тоже

Заказал VPS с убунтой. Он как бы преднастроенный. Выдали пароль от рута.

В убанте у рута не должно быть пароля и все конфиги пишутся в соответствии с этой идеей.

Это твой хостер накосячил, задав пароль руту, а не убантоеды.

В убанте у рута не должно быть пароля

Это кто такое сказал? Если бы это было правдой, они бы настроили pam соответствующим образом, чтобы без серьёзных изменений в системе нельзя было использовать рута с паролем. По факту всё, что требуется для включения пароля рута это набрать # passwd.

Это твой хостер накосячил, задав пароль руту, а не убантоеды.

Не согласен. Ничего страшного в руте с паролем нет, если пароль не toor.

Если бы это было правдой, они бы настроили pam соответствующим образом, чтобы без серьёзных изменений в системе нельзя было использовать рута с паролем.

Зачем? У пользователя есть право ломать свою систему.

У пользователя есть право ломать свою систему.

Установил пароль рута = поломал свою систему. Дивный новый мир. Спасибо.

Новичкам пароль рута не положен. Пусть дома на виртуалке играются в админов.

Это как «а если я дам челлвеку не умеющему готовить острый нож а он себе палец отрежет».

Установил пароль рута = поломал свою систему.

1. Заменил стандартный вход систему под пользователем на рута.

2. Включил рут доступ по паролю в ssh.

Странно после этого жаловаться на то, что можешь потерять доступ к системе, если не глядя применишь конфиг к ssh по умолчанию. Тоже самое у тебя будет хоть под гентой, хоть под дебианом.

4.2, дорогой, городишь ты. Обычно, тебе dpkg-configure выдаёт окошко или текст просто, где и будет пункт «Keep local version currently installed» для конфигов в целом и sshd в частности.

Унылый, ненужный вброс)

Ты на ВасянХост чтоль VPS заказал? Что за говно? Почему дают пароль? Почему не вход по ключу? Какого х для убунты дают входить от root? Он по умолчанию там отключен.

Назвался груздем - полезай в кузов.

ты не поверишь, сколько людей заказывают впс и потом спрашивают, ээ братан а где фтп, как установить фтп

Зачем? У пользователя есть право ломать свою систему.

любопытно. я на впске хецнера удалил какого то их агента, после чего после миграции на другую ноду они некисла поломали мне ФС

И говорит мол файл поменялся или что-то в этом роде.

Именно «что-то в этом роде», твой файл по-умолчанию сохраняется. Что за тп-шная манера, не прочитав того, что написано на экране, верещать «тут все сломалось!111»

причём пункт «сохнарить старый конфиг» - вроде бы по умолчанию.

Ты на ВасянХост чтоль VPS заказал?

Плюсану, где делал впс, везде просили загрузить ключ или сгенерить новый.

Это твой хостер накосячил, задав пароль руту, а не убантоеды.

Ещё, как вариант, ТС продолбился в глаза и заказал дебиан вместо убунты. Вполне вероятно, учитывая его уровень.

Он как бы преднастроенный

Ну вот тебе и преднастройка

Ну так заказали-бы VPS на венде, раз не шарите в линуксе. У дистров такая паранойя с SSH не от хорошей жизни, а от того что денно и ношно туда ломятся китайские какиры и брутфорсят пароли. А доступ для рута по паролю - это вообще зло. Используйте либо ключи, либо обычного пользователя и sudo.

А ещё поставьте себе fail2ban, он даже в дефолтной конфигурации неплохо так разгружает SSH от китайских какиров.

Как правило в вэб ui есть возможность залить ssh key

Так что ничего плохого не случилось бы

А пользоваться рутом совсем нехорошо

Для Ubuntu нормально юзать конфиг с отключенными парольными авторизациями и входом от рута. Это же классика(и то, и другое - не безопасно). Свежие Ubuntu все юзают такой конфиг. Мало того, в самых свежих ещё и старые алгоритмы по умолчанию выключены, пытаетесь подключиться до них древним клиентом SSH, и получаете облом. Это они так о вашей же безопасности заботятся. И не зря так делают. Видели бы вы, сколько я видел VPS с паролем root, который сбрутили ушлые товарищи с IP, принадлежащих одному облачному китайскому провайдеру… Больше страдали только любители древних VPS с не обновлённым exim с забавными уязвимостями(кто застал это время, тот помнит мучительный батхёрт любителей exim в прошлом, и позапрошлом, году).

У дистров такая паранойя с SSH не от хорошей жизни, а от того что денно и ношно туда ломятся китайские какиры и брутфорсят пароли

Именно. Видно бывалого человека. И не только на VPS. Они пытаются найти удалённо доступное сетевое оборудование, и тоже брутят его пароли. С тех же подсетей, что и root у VPS это делается…

Используйте либо ключи, либо обычного пользователя и sudo

Правильный вариант: обычного пользователя с авторизацией только по ключу, и с sudo запрашивающий пароль(вход по ключу, повышение привилегий только по паролю, так как нельзя держать все яйца в одной корзине).

fail2ban а это чудо везде должно быть, и не только для ssh. Без него в наше время просто никуда.

Есть мнение, что это то ли в дебиан невнятное подвезли, то ли просто общий тренд, мне на распберри такая же дрянь пришла.

а зачем fail2ban, если по сертификату вход?

А для других служб, у которых нет такой роскоши. К примеру, висит у вас почтовик на сервере, и его постоянно брутят. Или мускуль, торчащий в мир по белому IP… Даже если важной почты там нет, и в базах ничего важного, постоянный брут будет создавать повышенное потребление ресурсов. А ведь бывает и хуже, когда, к примеру, брутят ftp, получают доступ к тому же веб-ресурсу, заливают туда какую-то гадость, и создают проблемы вам, даже не имея там рута… Попадёт, к примеру, IP вашей VPS в DNSBL какой-то, вроде и мелочь - а не приятно…

Можно им рубить слишком частые сессии или слишком частые неудачные коннекты. Просто во-избежание.

Не будет там никакого повышенного потребления ресурсов, по крайней мере если тебя не целенаправленно дудосят. Единственное разумное обоснование fail2ban-а это убогость линуксовых логов, которыми нельзя полностью отключить логгирование неудачных попыток входа. Но лучше бы исправить эту проблему, чем лечить зубы через гланды.

это убогость линуксовых логов

Кто-то перебастовался лишнего, похоже…

Покажешь мастер-класс? Как в той же убунте 20.04 настроить логи так, чтобы неудачных попыток входа через ssh не было видно вообще нигде, будто их и не было. Ну в идеале - чтобы раз в сутки писал статистику, мол столько-то попыток неудачных входов и на этом всё, но можно и без этого.

чтобы неудачных попыток входа через ssh не было видно вообще нигде

Ты хочешь очень странного, не хоти так больше.

Ну в идеале - чтобы раз в сутки писал статистику, мол столько-то попыток неудачных входов и на этом всё

Это не задача системных логов.

Причём здесь убунта и её дружелюбность.

Выдали пароль от рута

Это странный хостер. Обычно никто не выдаёт рутовый пароль на впсках, а просят в админке задать публичную часть своего ключика ssh. По которому и логинишься под юзером по умолчанию (не root), ну а дальше sudo под все привилегированные операции.

То бишь если бы я в этом не шарил, я бы ничтоже сумнящеся взял новый конфиг и окирпичил бы VPS

Это вряд ли, если есть п. 1.

В убанте у рута не должно быть пароля и все конфиги пишутся в соответствии с этой идеей.

Это твой хостер накосячил, задав пароль руту, а не убантоеды.

Нельзя не согласиться.

А при чём тут вообще убунта? На нормальных хостингах делают юзера и ставят ему твой публичный ключ в authorized_keys. Кроме этого, рутом по паролю можно зайти через VNC зайти, в т.ч. в браузере.

Не, дядь, недружелюбное - это когда тебя не предупреждают об изменениях а вносят их молча. Или когда сервис с стоковым конфигом из пакета не работает, а в мане документация от несовместимой, устаревшей на три мажорных релиза, версии. И даже это не недружелюбие, а так, мелкие неудобства. Недружелюбное - это когда вообще пакета нет, а есть только непубличная свн-репа с сырцами которые на современном твоей системе стеке не собираются, на современном проекту стеке тоже не собираются и вообще оказывается что собирается только какой-то там энный по счету с конца тег, но узнаешь ты это только убив туда недельку времени. И все это под посвистывание плеточки и асап-асап.

Первое что пользователь делать при заходе в vps – настраивать ключи, устанавливать другой порт ssh и запрещать вход по паролю. Это как бы минимум.

Вы из тех людей, как и Пони, у которых Линукс всегда будет виноват: Линукс оставил дефолтные настройки и его поломали? Это все Линукс виноват НЕ ГОТОВ! Линукс сменил настройки на необходимые для разумной безопасности и пользователь не может зайти? Это все Линукс виноват, я ничего не хочу изучать, сделайте мне хорошо. Для таких как вы в Винде раньше писали «Обратитесь к своему системному администратору».

Первое что пользователь делать при заходе в vps – настраивать ключи, устанавливать другой порт ssh и запрещать вход по паролю. Это как бы минимум.

Ты перечислил ненужные вещи. Первое, что пользователь делает при заходе в VPS это устанавливает обновления. Ключи это вкусовщина, другой порт ssh и запрет входа по паролю это дурость.

А не всегда сразу очевидно, целенаправленно это делают, или ещё не совсем. Лучше на всякий случай иметь fail2ban, чем его не иметь, и столкнуться с последствиями целенаправленного DDOS.

А ведь все было бы нормально, клади хостер свои настройки в /etc/ssh.conf.d/ (или как там в убунте это делается), а не заменяя глобальный sshd.conf. Но нет, нишмагли. Впрочем, любви deb-дистрибутивов к полуавтоматической замене конфигов это не оправдывает.

Тебя похачат кетайцы уже во время установки обновлений :D А если будешь ставить под рутом, еще и эскалацию привелегий получат :D

Ну как меня кто-нибудь задудосит и fail2ban при этом поможет (в чём я сильно сомневаюсь, по-серьёзному дудосят тупо забивая канал в 0 и там ничего не поможет кроме содействия хостера на уровне сетевой инфраструктуры), тогда может изменю своё мнение. Пока моё мнение вполне чёткое - все эти fail2ban-ы исключительно для имитации безопасности. По сути ничего не дают, но ореол безопасности создают. Ну и иногда тебе самому мешаются.

И когда случится это долгожданное событие?

Согласен, но вообще я этот каталог только в убунту 20 нашёл, в ранних версиях не видел, хотя, конечно, давно пора такое было сделать.

Если DDoS заказной, ребята всерьёз за вас взялись, то они положат канал(или попытаются), но это если атака на уровень L3 будет. Если на L7, они просто заставят ваш сервер упереться в имеющиеся у него лимиты, вызвав DoS своими действиями(поднявшаяся LA, OOM-ы, досрочное завершение подключений по таймаутам, куча подключений в time-wait между фронтенд-сервером и бэками).

И совсем другое дело, если это просто брут-форс какого-то сервиса. Он может создавать на вашем сервере LA или забивать количество доступных подключений к mysql под завязку, просто подключаясь к нужному сервису для брута какой-то учётки. И это уже совсем другое дело, в таких кейсах fail2ban помогает избавиться от наиболее шустрых товарищей, блоча наиболее активные IP на время. Вполне себе вариант.

Надеяться что fail2ban защитит от серьёзной атаки DDoS было бы наивно. Он не для этого нужен. Это средство, частично защищающее от брута учёток разных сервисов, и в этом качестве данный сервис хорош.