LINUX.ORG.RU

Что используете для ssh?

 


2

2

Интересно все таки. Ну и аргументы «за» и «против», вроде «ключи можно потерять», «а пароли можно забыть».

  1. Пароли319 (28%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Ключи (без пароля)237 (21%)

    *********************************************************************************************************************************************************************************************************************************************

  3. Зависит от сервера235 (21%)

    *******************************************************************************************************************************************************************************************************************************************

  4. Ключи (с паролем)201 (18%)

    *********************************************************************************************************************************************************************************************************

  5. Не использую ssh129 (12%)

    *********************************************************************************************************************************

Всего голосов: 1121

★☆☆☆

Проверено: beastie ()

Ответ на: комментарий от beastie

лишние сущности, да, перевесить на нестандартный порт не дает никаких преимуществ в безопасности, зато боты не надоедают и фильтровать не надо, хотя я на всякий случай на сервера rate-limit вешаю

Sylvia ★★★★★ ()

по теме - ключики, для рута RSA, для простых акков ECDSA, с паролями.
пароли на учетки не ставлю, логин только по ключам

ключи без паролей - для туннелей, монтирования sshfs (усажено в chroot и shell=/bin/false)

Sylvia ★★★★★ ()
Ответ на: комментарий от oskar0609

кошачья морда, вот и жди когда их стырят.

Как же их стырят, расскажи.

tazhate ★★★★★ ()
Ответ на: комментарий от beastie

В том, что это не имеет ну абсолютно никакого смысла, кроме разве что мастурбации на собственную семи-параною.

Это если вы на сервере сам. Или, кроме вас там заведено еще пара таких же админов. А если там несколько десятков девелоперов, разного рода админов, DBA и т.п. (которые так и норовят поставить себе пароли попроще) а в логах каждый день светятся добрые дяди, подбирающие пароли, то ssh на нестандартном порту перестает казаться такой уж и параноей

c0smonaut ()

Не понимаю, что сложного в использовании ключей. Использую ключи везде, очень удобно.

Wizard_ ★★★★★ ()
Ответ на: комментарий от beastie

Пароль могут подбирать просто автоматом. И выбрать тебя тоже автоматом. И тут ssh на левом порту помогает.

Wizard_ ★★★★★ ()
Ответ на: комментарий от beastie

А fail2ban уже переписали на чём-нибудь кроме питона? Или какие-нибудь функциональные аналоги есть?

CYB3R ★★★★★ ()
Ответ на: комментарий от Wizard_

Нет. Сканируем все порты, стучимся на все открытые порты, на том порту, где нам ответит sshd, висит ssh. Очень просто.

CYB3R ★★★★★ ()
Ответ на: комментарий от CYB3R

На все открытые порты всех хостов из списка? Это просто фантастика какая-то :) Я говорю о всяких бот-сетях, которые просто сканируют диапазоны адресов на открытые сервисы. Естьи такие, которые сканируют ssh, чтобы попробовать подобрать простые пароли.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Infra_HDC

Ключи — это слишком сложно, хотя мог бы освоить при желании.

Вот и выросло поколение... (С)

px ★★★ ()
Ответ на: комментарий от Wizard_

Я для тебя даже однострочник набросал (да, пришлось подумать и погуглить), чтобы показать, как это легко.

for PORT in $(nmap $SITE | awk '{ if ($1 ~ /^[0-9]/) print $1}' | sed 's/\/tcp//g'); do echo -n "$SITE $PORT: "; nc -w1 $SITE $PORT; echo; done
Перед запуском нужно поместить DNS-имя или айпишник в переменную SITE и убедиться, что nc — это OpenBSD NetCat (умельцы могут переделать под гнутую версию, я просто не нашёл параметра --wait=SECS у GNU NetCat).

CYB3R ★★★★★ ()
Ответ на: комментарий от CYB3R

Сейчас потыкался по ЛОРу с целью поиска сайтиков пользователей. Хорошим примером для проверки скрипта будет xneur.ru.

CYB3R ★★★★★ ()
Последнее исправление: CYB3R (всего исправлений: 1)
Ответ на: комментарий от CYB3R

А теперь подумай (можешь даже погуглить, если не надумается), сколько хостов в IPv4. Потом умножь на время, необходимое для сканирования всех портов (OMFG!) одного хоста — и ты поймёшь, какую ерунду ты сморозил.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

Что? Мы собираемся делать карту интернета или у нас просто есть список хостов?

CYB3R ★★★★★ ()
Ответ на: комментарий от CYB3R

У нас есть обширный интернет, в котором есть всякие лохи с простыми паролями на ssh. И нам их надо найти.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

Смысл в том, что SSH-сервер всегда сам себя выдаст. Ещё и версию скажет, а это практически информация об уязвимостях сервера.

CYB3R ★★★★★ ()
Ответ на: комментарий от Wizard_

Будем сканировать весь интернет? Он большой, не взлетит.

CYB3R ★★★★★ ()
Ответ на: комментарий от CYB3R

Так именно поэтому нужно минимизировать время на поиск лоха. Какие отличительные черты лоха? Уж наверняка лох с простым паролем не будет вешать ssh сервер на нестандартный порт. Правда?

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

Но если на хосте нет ssh на 22, то можно этот хост поместить в специальный список «не совсем лохов», для того, чтобы проверить их на предмет нестандартных портов.

CYB3R ★★★★★ ()
Ответ на: комментарий от Wizard_

В любом случае, смена порта — глупое занятие. Проще и надёжнее отключить парольную аутентификацию.

CYB3R ★★★★★ ()
Ответ на: комментарий от CYB3R

Если там нет ничего на 22-м порту, значит, там винда, скорее всего. Даже если не винда, то всё равно вряд ли что-то интересное. Нужно по шаблонам идти, рассматривать только стандартные ситуации.

Wizard_ ★★★★★ ()
Ответ на: комментарий от CYB3R

Не всегда удобно, когда приходится коннектиться к серверу с разных компьютеров.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

Тогда нужно поставить секурный пароль. А ещё можно использовать sequence port knocking.

CYB3R ★★★★★ ()

ключи без пароля с ssh-agent. Машин больше тысячи :)

xpahos ★★★★★ ()

сильви в треде, язабан. эпоха старперов прошла и не вернется, реликты должны быть безоговорочно ликвидированы.

по сабжу - ключи без паролей.

x0r ★★★★★ ()
Последнее исправление: x0r (всего исправлений: 1)
Ответ на: комментарий от ViTeX

Читать ман? Зачем? В моём дистрибутиве (в федоре) это делается последовательным введением двух команд: ssh-keygen и ssh-copy-id

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

А в конфиг не надо лезть? И что делать если ключ потеряю?

ViTeX ★★★★ ()
Последнее исправление: ViTeX (всего исправлений: 1)
Ответ на: комментарий от CYB3R

Я для тебя даже однострочник набросал

лучше бы осилил man: nmap -p22 localhost -sV

Bers666 ★★★★★ ()
Ответ на: комментарий от ViTeX

В конфиг на федоре лезть не надо. Ключ потеряю? Это как это? :)

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

Я так понимаю, что на компе, с которого я логинюсь, должен иметься ключ? Или я что-то путаю?

ViTeX ★★★★ ()
Ответ на: комментарий от ViTeX

Он там имеется. Утилита ssh-keygen его туда положит. А ssh-copy-id положит публичный ключ на чужой сервер.

Wizard_ ★★★★★ ()
Ответ на: комментарий от ViTeX

Логин по паролю отключать необязательно. Я уже выше говорил, что я редко отключаю логин по паролю просто потому, что приходится с разных компьютеров логиниться.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

А он чего, на клиентском компе генерится?

ViTeX ★★★★ ()
Ответ на: комментарий от Wizard_

Нифига но не помогает. Перебор пароля по ssh — дело безнадёжное, брутфорс через ssh не делают. Если пароль конечно не root123 и подобное — а именно это и пробуется ботами и ничего другого. Т.ч. всё это слабые отмазки.

beastie ★★★★★ ()
Ответ на: комментарий от ViTeX

А где же? Потом кладётся в ~/.ssh/authorized_keys на удалённом компьютере, куда коннектимся.

Wizard_ ★★★★★ ()
Ответ на: комментарий от CYB3R

Не знаю, работает и ладно, а на чём оно меня мало волнует. В бздях использую просто родной pf с max-src-conn-rate и баном ip на n часов.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Именно это и пробуется ботами, о том и речь. Я не говорю, что это панацея какая-то, но это помогает избежать некоторого ненужного внимания.

Wizard_ ★★★★★ ()
Ответ на: комментарий от ViTeX

Всё это делается двумя командами в федоре, как я выше писал. Никаких знаний о authorized_keys и публичных ключах не требуется.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

Это усыпляет внимание. Ну, отсечёшь ты тупых ботов, которых и так бояться не стоит. Хитрые всё равно найдут. Т.ч. лучше просто следить за парольной гигиеной или не использовать их совсем. Напомню ещё раз, что через ssh не брутфорсят.

Кстати, вопрос на засыпку, любителям перевесить: на каком порту у вас ssh? 2222, 8222 6022, 7022, 222, 1024? Уверен, что у некоторых угадал. И если я, дурак, это могу просто так угадать, то бото-строители и подавно. Нежьтесть и дальше в лучах своей гениальности.

И зарубите себе на носу: security through obscurity doesn't work!

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 2)
Ответ на: комментарий от beastie

отсечёшь ты тупых ботов, которых и так бояться не стоит

Лающих шавок на улице тоже бояться не стоит. Однако, неприятно, правда? :)

на каком порту у вас ssh? 2222, 8222 6022, 7022, 222, 1024?

Мимо :) Кстати, я не об этом компьютере, с которого пишу. Просто недавно вводил в строй новый офис, там попробовал нестандартный порт поставить. Думаю, имеет смысл в некоторых случаях.

Wizard_ ★★★★★ ()
Ответ на: комментарий от beastie

Секьюрити фру обскьюрити.. Да-да, знаю. Но я не о секьюрити, а как раз о некоторой гигиене.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

Просто недавно вводил в строй новый офис, там попробовал нестандартный порт поставить.

Это только, если это очень-очень хорошо и большими буквами документировать, иначе это превращается в бомбу замедленного действия, кучу головной боли для следующего админа и прекрасный бекдор.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Ну, я там не админ и никуда оттуда не денусь :) Так что запомню как-нибудь. Да даже и для админа порт запомнить — это не проблема.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

никуда оттуда не денусь

Незаменимых людей нет, если ты конечно не собираешься отпуск. ;)

Да даже и для админа порт запомнить — это не проблема.

Один, десять, но что делать, когда их у тебя тысячи?

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Представь себе просто ситуацию. Ты попал на работу со скажем так 50 серверов и предыдущий админ был лентяй и параноик — документации нет и все порты рандомные. И вот, горит! А ты, ну, товарищи, сейчас не могу, мне сначала nmap на хосты натравить надо, приходите завтра... Представил? Вот.

beastie ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.