[Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

Sándor Fehér fehersandor at madach-starjan.sulinet.hu
2018. Sze. 20., Cs, 11:12:31 CEST 

Port Scan Detector

https://wiki.mikrotik.com/wiki/Drop_port_scanners

Pár szabály lényegében és egy anti DDOS-t tud.


2018. 09. 20. 11:04 keltezéssel, József Venczel írta:
> Szia!
>
> A PSD érdekelne, az micsoda?
>
> Üdv,
> Venczel József
>
>
> Sándor Fehér <fehersandor at madach-starjan.sulinet.hu 
> <mailto:fehersandor at madach-starjan.sulinet.hu>> ezt írta (időpont: 
> 2018. szept. 20., Cs, 10:59):
>
>     +1 évek óta így csinálom. másik port + fail2ban
>
>     Mikrotiknél meg vagy tiltom a szolgáltatást(mert ált nem kell),
>     vagy csak benti ip-ről hagyom a logint és ott is másik portot adok
>     neki. >> itt még PSD-t  alkalmazok pluszban, így a portscan is
>     felismeri és nem tudják a portot "kitalálni"
>
>     Kinntről ssh-t nem engedek mikrotik esetében, sőt a winboxot sem.
>
>
>     2018. 09. 20. 9:49 keltezéssel, Mészáros Zsolt írta:
>>
>>     Szia,
>>
>>     Porteltolás és Fail2ban kombó jó lehet szerintem:
>>
>>     https://www.booleanworld.com/protecting-ssh-fail2ban/
>>
>>
>>     2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
>>>     Szép jó reggelt Mindenkinek!
>>>
>>>     Sshd konfigurálásában szeretném kérni a segítségeteket.
>>>     Van egy Debian szerverem, aminek van egy publikus címe. Nincs
>>>     rajta más, csak ssh.
>>>     Ezen le van tiltva a root bejelentkezés és a jelszavas
>>>     bejelentkezés is. Csak privát kulcssal lehet bejutni és úgy is
>>>     csak egy usernek.
>>>     A konfig megfelelő részei:
>>>
>>>     LoginGraceTime 1m
>>>     PermitRootLogin no
>>>     StrictModes yes
>>>     AllowUsers Walaky
>>>     PasswordAuthentication no
>>>     PermitEmptyPasswords no
>>>     ChallengeResponseAuthentication no
>>>
>>>     A többi alapértelmezés szerinti értéken van.
>>>     Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
>>>     véletlenszerű (a jelszava is természetesen, de ez most igazából
>>>     lényegtelen).
>>>
>>>     A legnagyobb gondom az, hogy ez így működik is, mert már
>>>     szeptember 16 óta folyamatosan próbálkoznak és nem jutottak be,
>>>     de ha telepítek erre a rendszerre egy Proxmoxot, akkor az néhány
>>>     óra múlva összeomlik.
>>>     A támadás 6-7 ip címről megy, tehát az nem opció, hogy
>>>     iptables-sel kizárom őket, mert fognak egy másik ip címet és
>>>     folytatják arról.
>>>     Az igazsághoz még hozzátartozik, hogy csak most van szükségem
>>>     erre, mert később ezen az interface-en letiltom az ssh-t.
>>>     Mégis mit állítsak még be, hogy elvegyem a kedvüket a
>>>     próbálkozástól?
>>>
>>>     Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk
>>>     24 órára, akkor egy ip címről csak egyszer tudnának próbálkozin
>>>     naponta. Csakhogy a neten talált leírások épp az ellenkezőjét
>>>     javasolják. Kíváncsi lennék a véleményetekre!
>>>
>>>     Előre is köszönöm a szakértő hozzászólásokat!
>>>
>>>     Üdv,
>>>     Venczel József
>>>
>>>
>>>     _______________________________________________
>>>     Techinfo mailing list
>>>     Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>>>     Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
>>>     Illemtan:http://www.szag.hu/illemtan.html
>>>     Ügyfélszolgálat FAQ:http://sulinet.niif.hu/
>>
>>     -- 
>>     Best regards,
>>     Zsolt Meszaros
>>     IT-Sysadmin
>>
>>
>>     _______________________________________________
>>     Techinfo mailing list
>>     Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>>     Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
>>     Illemtan:http://www.szag.hu/illemtan.html
>>     Ügyfélszolgálat FAQ:http://sulinet.niif.hu/
>
>     _______________________________________________
>     Techinfo mailing list
>     Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>     Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>     Illemtan: http://www.szag.hu/illemtan.html
>     Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20180920/588c399a/attachment.html>

További információk a(z) Techinfo levelezőlistáról