secure log

[Kulyassa Robert]

On Tue, Nov 08, 2005 at 06:11:30PM +0100, Holló Dávid wrote:
> KR> A magas TCP portra rakott ssh amelett, hogy kenyelmetlen is, mas
> KR> veszelyeket is jelent. Egyreszt a "na talald meg az ssh demont" nem egy
> KR> nagyon bonyolult feladat, egy portscan utan mar csak nehany
> KR> probalkozasra van szukseg...
> KR>  Vagyis hamis biztonsagerzetet kelt.
> 
> Sok olyan helyen is hasznaljak , ahol nem csak 1-2 user lep be, hanem
> "publikalva" van az sshd portja.

En nem mondom, hogy nincs sok hulyeseg a vilagban. ;)

> Valo igaz, hogy portscan utan lebukik
> , de ugyan az mar a te bajod , ha nem vedekezel megfeleloen a portscan
> ellen. :o

hogy is? Mert ha meg akarlak tamadni akkor elobb veszek nehany zombi
gepet, az egyiket kitiltod a masikrol folytatom... szal meg fogom
talalni az ssh-t ha akarom.

> Miert lenne kenyelmetlen? Ja ,mert a puttyban at kell irni egy szamot
> ,es esetleg meg kell jegyezned , hol figyelnek az sshd-d a szerveren?
> Valoban kenyelmetlen feladat :ooo

Nem lehetetelen, kenyelmetlen. Ne keverd ossze. Mert van X accountom X
gepre es nincs kedvem fejben tartani, hogy hol milyen idetlen porton van
az ssh. Kenyelmetlen.

> KR> Masreszt ha 1024 feletti portra teszed az ssh-t, akkor azzal azt
> KR> kockaztatod, hogy ott (mondjuk egy sshd leallas utan)
> MIert allna le? Ez olyan gyakori problema? Egy olyan esetrol sem
> hallottam , hogy sshd leallt volna csak ugy , eszrevetlenul :o

Hat igen, lehet biztonsagot epiteni arra is, hogy majd biztos nem lesz
hiba... csak nem szokas. ;)

> KR> A fail2ban szerintem egy jo megoldas lehet:
> KR>  - a user szamara _semmilye_ extra nehezseget nem jelent
> KR>  - nem abbol indul ki, hogya tamadok tokhulyek es majd ugyse talalnak
> KR>    meg teged. ;)
>  
> Johat ez is jo megoldas lehet, en nem vitatkozom ezzel kapcs. Csak
> annyi , hogy mashol figyelo ssh sztem alap dolog, lehet meg
> bonyolitani a biztonsagot.

Epp ez a lenyeg. Ez nem egy bonyolitas... _Ez_ nem.


-- 
qji