[Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

Sándor Fehér fehersandor at madach-starjan.sulinet.hu
2018. Sze. 20., Cs, 10:29:03 CEST 

József!

 >A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok.
Na ne már, a clusterednek miköze a publikus nethez?? Remélem nem azon 
van összekötve a két gép. Cluster nethez másik hálózat kellene, egy 
teljesen független. ( két kártya + keresztkábel static ip-vel is elég 
vagy a LAN)
Az ssh-t meg ne bindingeld a netre menő if-en.
Nem kell oda. vpn-en esetleg meg eléred, ha kell a belső hálózatról.

No ekkor hogyan hekkelgetik? :)

Nekem is clusteres proxmox-om van és olyat még nem tapasztaltam, hogy az 
ssh "összeomlasztotta" volna.
DDOS esetén talán, de nem tudom.
Fail2ban sokat segítene ezen a problémán!!


2018. 09. 20. 10:22 keltezéssel, József Venczel írta:
> Köszi a választ!
>
> Úgy látom, a fail2ban is nagyjából azt csinálja, mint az sshguard. 
> Szerinted melyik a jobb?
> Az előbb az sshguard-ot nyomtam fel, most várok. Ha nem jön be, akkor 
> lecserélem a fail2ban-ra.
>
> A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok. 
> (Miért van az az érzésem, hogy ezt nem kellett volna elmondanom!?)
> Az meg ssh-val kommunikál a node-ok között. Nem tudom működik-e, ha 
> megváltoztatom a portot. Egyébként normál körülmények között, persze 
> nekem is az az első, hogy elteszem a portot máshová.
>
> Üdv,
> Venczel József
>
> Mészáros Zsolt <lista at tigriselektro.hu 
> <mailto:lista at tigriselektro.hu>> ezt írta (időpont: 2018. szept. 20., 
> Cs, 9:59):
>
>     Szia,
>
>     Porteltolás és Fail2ban kombó jó lehet szerintem:
>
>     https://www.booleanworld.com/protecting-ssh-fail2ban/
>
>
>     2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
>>     Szép jó reggelt Mindenkinek!
>>
>>     Sshd konfigurálásában szeretném kérni a segítségeteket.
>>     Van egy Debian szerverem, aminek van egy publikus címe. Nincs
>>     rajta más, csak ssh.
>>     Ezen le van tiltva a root bejelentkezés és a jelszavas
>>     bejelentkezés is. Csak privát kulcssal lehet bejutni és úgy is
>>     csak egy usernek.
>>     A konfig megfelelő részei:
>>
>>     LoginGraceTime 1m
>>     PermitRootLogin no
>>     StrictModes yes
>>     AllowUsers Walaky
>>     PasswordAuthentication no
>>     PermitEmptyPasswords no
>>     ChallengeResponseAuthentication no
>>
>>     A többi alapértelmezés szerinti értéken van.
>>     Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
>>     véletlenszerű (a jelszava is természetesen, de ez most igazából
>>     lényegtelen).
>>
>>     A legnagyobb gondom az, hogy ez így működik is, mert már
>>     szeptember 16 óta folyamatosan próbálkoznak és nem jutottak be,
>>     de ha telepítek erre a rendszerre egy Proxmoxot, akkor az néhány
>>     óra múlva összeomlik.
>>     A támadás 6-7 ip címről megy, tehát az nem opció, hogy
>>     iptables-sel kizárom őket, mert fognak egy másik ip címet és
>>     folytatják arról.
>>     Az igazsághoz még hozzátartozik, hogy csak most van szükségem
>>     erre, mert később ezen az interface-en letiltom az ssh-t.
>>     Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>>
>>     Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk
>>     24 órára, akkor egy ip címről csak egyszer tudnának próbálkozin
>>     naponta. Csakhogy a neten talált leírások épp az ellenkezőjét
>>     javasolják. Kíváncsi lennék a véleményetekre!
>>
>>     Előre is köszönöm a szakértő hozzászólásokat!
>>
>>     Üdv,
>>     Venczel József
>>
>>
>>     _______________________________________________
>>     Techinfo mailing list
>>     Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>>     Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
>>     Illemtan:http://www.szag.hu/illemtan.html
>>     Ügyfélszolgálat FAQ:http://sulinet.niif.hu/
>
>     -- 
>     Best regards,
>     Zsolt Meszaros
>     IT-Sysadmin
>
>     _______________________________________________
>     Techinfo mailing list
>     Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>     Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>     Illemtan: http://www.szag.hu/illemtan.html
>     Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20180920/f1b76844/attachment.html>

További információk a(z) Techinfo levelezőlistáról