Linux, пользователи, безопасность в Сети

sshd давно надо вешать на нестандартные порты :)

я_кто? > У меня начинаются опасения за 22 порт -- для криворуких виндоюзеров провайдеры режут входящие 138, 139 порты, начнут резать еще и 22?

В Питере в некоторых домовых сетях уже зарезан 22 порт во внешнюю сеть. А у меня в офисе зарезано вообще всё, кроме 80 порта и какого-то порта ICQ.

> sshd давно надо вешать на нестандартные порты

С ними неудобно. При нормальных паролях/авторизации по ключу можно и на стандартном.

> в некоторых домовых сетях уже зарезан 22 порт во внешнюю сеть

Душить таких.

> у меня в офисе зарезано вообще всё

Офис -- отдельная песня.

У меня доступ на 22 порт был открыт только для определенных IP-адресов, с которых я на него заходил.

> А у меня в офисе зарезано вообще всё, кроме 80 порта и какого-то порта ICQ.

А зачем в офисе icq?

Читать башорг и сбрасывать бояны контактам, вестимо.

просто icq легко заводится через http/https, а так низачем.

это всё боты, у меня когда раньше был открыт 22 порт наружу, то вечно кучу трафика они выжирали брутфорсами :)

Во-первых DenyHosts, sshdfilter или Portsentry. Заблокируют на заданное время после заданного числа ошибок.

Во-вторых port knocking.

В-третьих, в случае особой паранойи, Tripwire или Samhain.

посмотрел у себя на цифру 54 и решил не параноить, а сослаться на то что сам по пьяни не мог пароль нормально набрать.

С 54 разных IP? Где ж тебя, болезного, по пьяни так носило? :)

> это всё боты

Ну, это-то понятно. Вопрос стоит так: это столько script-kiddies их вручную запускает или куча машин уже зохавано?

ssh пользуют далеко не все линуксоиды
и его надо отключать

а я повесил sshd на порт 31337 и сменил ему баннер :)

>С 54 разных IP? Где ж тебя, болезного, по пьяни так носило? :)

всякое бывает у меня:-D

andrey@gg-lfs (~)$ cat /var/log/apache/access_log | grep px_judge | wc -l
723
andrey@gg-lfs (~)$ head -n 1 /var/log/apache/access_log                  
127.0.0.1 - - [24/Jan/2007:16:30:27 +0200] "GET / HTTP/1.1" 200 44
andrey@gg-lfs (~)$ echo $((365 / 2))
182
andrey@gg-lfs (~)$ echo $((723 / 182)) 
3
andrey@gg-lfs (~)$

т.е. 3 запроса в день для проверки наличия у меня прокси. и это при динамическом айпи!

> начнут резать еще и 22

ну так вешай на порт > 1024

вот только не надо нестандартных портов

sshguard очень помогает...

>С ними неудобно. При нормальных паролях/авторизации по ключу можно и на стандартном.

освой формат .ssh/config

у меня на работе закрыты одни порты (свыше), дома другие

так я в конфиги прописал что где висит и уже и не помню все включая rsync over ssh прекрасно этот конфиг читает и разбирается на какой порт идти, какой идентити юзать и под каким юзером заходить по дефолту

> sshd давно надо вешать на нестандартные порты :)

security by obscurity? ну-ну, есть методы и получше

Ха, удивил =)))))))

cat /var/log/auth.log /var/log/auth.log.0 | grep "authentication failure" | wc -l
3808

Это, точно не я по пьяни =))))

Правда, тут без sort -u

Но, думаю, что не сильно уменьшится =)))))))

А, нет, сорри!

cat /var/log/auth.log /var/log/auth.log.0 | grep "authentication failure" | sed s/Jul.*rhost=// | sort -u
141.28.131.133
141.28.131.133  user=root
200.226.124.241  user=root
219.239.178.48
219.239.178.48  user=root
60.191.63.25
60.191.63.25  user=root
61.1.250.4
61.1.250.4  user=irc
61.1.250.4  user=lp
61.1.250.4  user=uucp
89-149-217-229.internetserviceteam.com
89-149-217-229.internetserviceteam.com  user=root
maestro.eecs.harvard.edu
maestro.eecs.harvard.edu  user=mail
maestro.eecs.harvard.edu  user=root
nsi27.miniserver.de
nsi27.miniserver.de  user=backup
nsi27.miniserver.de  user=games
nsi27.miniserver.de  user=mail
nsi27.miniserver.de  user=man
nsi27.miniserver.de  user=news
nsi27.miniserver.de  user=proxy
nsi27.miniserver.de  user=root
nsi27.miniserver.de  user=sshd
nsi27.miniserver.de  user=sync
nsi27.miniserver.de  user=www-data
phoenix.mindflowsolutions.com
phoenix.mindflowsolutions.com  user=root
svr.storetech.com
svr.storetech.com  user=root
  user=root

cat /var/log/auth.log /var/log/auth.log.0 | grep "authentication failure" | sed s/Jul.*rhost=// | sort -u | wc -l
32

Т.е., ошибался =)

>sshd давно надо вешать на нестандартные порты :)

Зачем? Тебе пару килобайт для логов жалко? Надо ставить не взламываемый за реальное время пароль или ключ.

посмотрел - долбятся все откуда-то с франции, да со штатов... как страшно жить>_<

>Итого, 135 попыток брутфорса ssh за неделю, т.е. ~20 в сутки, т.е. чуть реже, чем одна в час. И это не сервер какой, а просто домашняя машинка с фиксированным реальным IP.

Видать плейлист хотели стырить, что у тебя под ораклом на 2-й кластерной ноде вертится =)

/me снес ssh нафиг, от греха подальше..

> Это Linux такой популярный стал a) у блондинко с паролями "123", б) у скрипт-детишек или в) вообще в целом?

наверное для вас станет откровением тот факт, что ssh используется далеко не только пользователями Linux и к последнему отношение имеет весьма отдаленное?

// wbr

ps: запрещайте парольную аутентификацию и пользуйтесь только ключами и наступит вам счастье и покой.

// wbr

> наверное для вас станет откровением тот факт, что ssh используется далеко не только пользователями Linux

Как-то не приходило в голову, что один из нижеследующих вариантов или их комбинация имеют место быть в существенных масштабах:

1) Ынтырпрайз-админы ынтырпрайз-юниксов (тем паче, OpenBSD'шники, проевшие всем плешь своей security) -- ламеры, опускающиеся до паролей "123"

2) Они же -- банальные скрипт-киддисы

3) Блондинко поставило себе AIX/Solaris/HP-UX или, на худой конец, *BSD. Хотя, может это знакомый админ ей удружил, чтоб чаще встречаться :), но не думаю, что это массовое явление.

4) На многих Windows/MacOS X или КПК/мобильниках установлен sshd.

5) Нефтяные вышки объединены в ботнет :)

Если есть еще версия, поделись, а то прям заинтриговал.

Я, кстати, в один адрес ткнул, ради интереса в 25-й порт -- ответил почтовик с Debian'овским баннером (какой, вот только, не помню -- то ли Exim, то ли Postfix). Думал, написать извещение на root@localhost, да лень стало -- забил.

> Видать плейлист хотели стырить, что у тебя под ораклом на 2-й кластерной ноде вертится =)

Таакс... Начинаем Intrusion Detection, видимо кто-таки скомпрометировал мой плейлист-кластер :)

> Как-то не приходило в голову, что один из нижеследующих вариантов или их комбинация имеют место быть в существенных масштабах:

согласен, что факт то факт - с фантазией действительно не густо.

// wbr

> с фантазией действительно не густо.

Ага, вот еще версия, вроде имеющая право на жизнь:

PHP'шники на сильно популярной для Web-хостинга FreeBSD.

Кстати, надо бы ради интереса запустить скрипт на ответный OS fingerprinting nmap'ом в ответ, чтобы набрать статистику :)