[Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

2018. Sze. 20., Cs, 10:23:29 CEST

+1 évek óta így csinálom. másik port + fail2ban

Mikrotiknél meg vagy tiltom a szolgáltatást(mert ált nem kell), vagy 
csak benti ip-ről hagyom a logint és ott is másik portot adok neki. >> 
itt még PSD-t  alkalmazok pluszban, így a portscan is felismeri és nem 
tudják a portot "kitalálni"

Kinntről ssh-t nem engedek mikrotik esetében, sőt a winboxot sem.

2018. 09. 20. 9:49 keltezéssel, Mészáros Zsolt írta:
>
> Szia,
>
> Porteltolás és Fail2ban kombó jó lehet szerintem:
>
> https://www.booleanworld.com/protecting-ssh-fail2ban/
>
>
> 2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
>> Szép jó reggelt Mindenkinek!
>>
>> Sshd konfigurálásában szeretném kérni a segítségeteket.
>> Van egy Debian szerverem, aminek van egy publikus címe. Nincs rajta 
>> más, csak ssh.
>> Ezen le van tiltva a root bejelentkezés és a jelszavas bejelentkezés 
>> is. Csak privát kulcssal lehet bejutni és úgy is csak egy usernek.
>> A konfig megfelelő részei:
>>
>> LoginGraceTime 1m
>> PermitRootLogin no
>> StrictModes yes
>> AllowUsers Walaky
>> PasswordAuthentication no
>> PermitEmptyPasswords no
>> ChallengeResponseAuthentication no
>>
>> A többi alapértelmezés szerinti értéken van.
>> Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is 
>> véletlenszerű (a jelszava is természetesen, de ez most igazából 
>> lényegtelen).
>>
>> A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 
>> 16 óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek 
>> erre a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
>> A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel 
>> kizárom őket, mert fognak egy másik ip címet és folytatják arról.
>> Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, 
>> mert később ezen az interface-en letiltom az ssh-t.
>> Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>>
>> Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24 
>> órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta. 
>> Csakhogy a neten talált leírások épp az ellenkezőjét javasolják. 
>> Kíváncsi lennék a véleményetekre!
>>
>> Előre is köszönöm a szakértő hozzászólásokat!
>>
>> Üdv,
>> Venczel József
>>
>>
>> _______________________________________________
>> Techinfo mailing list
>> Techinfo at lista.sulinet.hu
>> Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan:http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ:http://sulinet.niif.hu/
>
> -- 
> Best regards,
> Zsolt Meszaros
> IT-Sysadmin
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20180920/b3db6aa1/attachment.html>