Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: атакуют сервер  (Прочитано 5004 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн RustemNur

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 2939
  • умрешь с вами
    • Просмотр профиля

Оффлайн vadim-nsk

  • Старожил
  • *
  • Сообщений: 1318
  • Жить надо так, как горит пламя!
    • Просмотр профиля
    • Linux в Новосибирске
Re: атакуют сервер
« Ответ #16 : 24 Января 2012, 15:31:03 »
fail2ban это отлично, но все же рекомендации выше по ssh вполне здравые, я подытожу немного:
1. не оставлять у ssh дефолтный порт (лучше сразу выносить за 10000).
2. создать ключ и настроить авторизацию по ключу(все остальные типы авторизации такие, как хостбазед или парольные отключить, после настройки и проверки авторизации по ключу).
3. установить fail2ban и жестко прописать правила на все случаи жизни, дефолные правила слишком лояльны (помните то что настройки вносить нужно именно в файл jail.local, а правила и дейстия соответственных файлах расположенных в filter.d action.d, не поленитесь прочитать руководство).
4. плохо настроенная почтовая система не только проблема с клиентами, но и обязательно мишень для злоумышленников, советую использовать только imaps и pops для доступа из вне.




Хорошо бы кроме fail2ban настроить систему обнаружения вторжений (хотя использование snort требует уже другой уровень понимания систем), что-нибудь вроде rhunter  тоже бы пригодилось, ну и конечно не забывайте про мониторинг системы (тот же munin выдает очень интересную информацию).




 

Оффлайн RustemNur

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 2939
  • умрешь с вами
    • Просмотр профиля
Re: атакуют сервер
« Ответ #17 : 24 Января 2012, 15:37:12 »
3. установить fail2ban и жестко прописать правила на все случаи жизни, дефолные правила слишком лояльны (помните то что настройки вносить нужно именно в файл jail.local, а правила и дейстия соответственных файлах расположенных в filter.d action.d, не поленитесь прочитать руководство).

Просьба: Не мог бы выложить свои?

Оффлайн Polkan

  • Участник
  • *
  • Сообщений: 124
    • Просмотр профиля
Re: атакуют сервер
« Ответ #18 : 24 Января 2012, 16:12:30 »
Я стандартный порт не меняю. И хожу по паролю (не всегда знаешь откуда срочно понадобится залогиниться)
Имхо вполне достаточно следующих мер:
1. запретить логиниться руту (PermitRootLogin no)
2. разрешить логиниться только себе (AllowUsers username)
3. иметь адекватный пароль
Вот так можно посмотреть количество неудачных логинов по ssh за последние дни
cat /var/log/auth.log* | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort -k 1,1M -k 2n | uniq -cи за более раннее время
zcat /var/log/auth.log*gz | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort -k 1,1M -k 2n | uniq -c

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: атакуют сервер
« Ответ #19 : 24 Января 2012, 17:15:54 »
Я стандартный порт не меняю. И хожу по паролю (не всегда знаешь откуда срочно понадобится залогиниться)
Имхо вполне достаточно следующих мер:
1. запретить логиниться руту (PermitRootLogin no)
2. разрешить логиниться только себе (AllowUsers username)
3. иметь адекватный пароль
Вот так можно посмотреть количество неудачных логинов по ssh за последние дни
cat /var/log/auth.log* | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort -k 1,1M -k 2n | uniq -cи за более раннее время
zcat /var/log/auth.log*gz | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort -k 1,1M -k 2n | uniq -c

root:~# cat /var/log/auth.log* | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort -k 1,1M -k 2n | uniq -c
   1143 Jan 15
   2581 Jan 16
   1686 Jan 17
   7896 Jan 18
  12201 Jan 19
   7551 Jan 20
   1744 Jan 21
    548 Jan 22
   2882 Jan 23

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Re: атакуют сервер
« Ответ #20 : 24 Января 2012, 17:30:27 »
Брутфорс, как он есть...
Уже говорили, но в данном случае, на мой взгляд, вполне достаточна была бы установка fail2ban с часовым временем запрета после трех неудачных попыток...

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: атакуют сервер
« Ответ #21 : 24 Января 2012, 18:09:46 »

3. установить fail2ban и жестко прописать правила на все случаи жизни, дефолные правила слишком лояльны (помните то что настройки вносить нужно именно в файл jail.local, а правила и дейстия соответственных файлах расположенных в filter.d action.d, не поленитесь прочитать руководство).


да-да-да.....можно посмотреть на ваш вариант?

Оффлайн coolman

  • Участник
  • *
  • Сообщений: 156
  • :)
    • Просмотр профиля
Re: атакуют сервер
« Ответ #22 : 02 Февраля 2012, 16:10:21 »
а если закрыть доступ ваще или дать только избранным ип?
iptables

Оффлайн SAN_i

  • Участник
  • *
  • Сообщений: 170
    • Просмотр профиля
    • san-i.org.ua
Re: атакуют сервер
« Ответ #23 : 02 Февраля 2012, 16:32:40 »
да-да-да.....можно посмотреть на ваш вариант?

+1

Оффлайн Polkan

  • Участник
  • *
  • Сообщений: 124
    • Просмотр профиля
Re: атакуют сервер
« Ответ #24 : 02 Февраля 2012, 17:22:53 »
а если закрыть доступ ваще или дать только избранным ип?
... и грызть потом ногти на ногах, когда срочно нужно войти на сервер, а сетки с нужным IP под рукой нет ))
Гораздо удобнее, как я уже говорил, запретить доступ всем (включая рута) кроме себя (или некоторого списка пользователей) и если при этом не иметь имя пользователя типа admin, superadmin, user123 и т.п., то вероятность подбора именно по вашему логину будет практически нулевой.
Если все-таки есть какие-то сомнения (например кто-то знает имя для логина), то можно поставить в крон задание, которое раз в сутки будет просматривать лог с фильтрами grep 'Failed password' | grep sshd | grep <логин> и если вдруг записи найдутся - слать почту.

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: атакуют сервер
« Ответ #25 : 02 Февраля 2012, 22:50:29 »
я ссш повесил на нестандартный порт как советовалось,теперь смотрю в логах как пытаются найти порт путём перебора

Оффлайн Polkan

  • Участник
  • *
  • Сообщений: 124
    • Просмотр профиля
Re: атакуют сервер
« Ответ #26 : 03 Февраля 2012, 10:23:28 »
я ссш повесил на нестандартный порт как советовалось,теперь смотрю в логах как пытаются найти порт путём перебора
В каких логах?

 

Страница сгенерирована за 0.031 секунд. Запросов: 25.