[Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Szia!

Köszönöm a tippeket!

Sajnos én sem tudom mitől omlott össze, mert a logokban nem találtam
semmit. A systemlog-ban nincs semmi, csak szolgáltatás indítások és a
fagyás utáni újraindítás nyomai.
Az auth.log-ból figyeltem fel a támadásokra/próbálkozásokra.

Hol nézhetném még meg? Örülnék, ha ki tudnám deríteni! Előre is köszönöm a
segítséget!

IPV6 egyáltalán nincs konfigurálva sehol.
A Proxmoxot Debian 9.4-re telepítettem. A legfrissebb 5.2.9-es Proxmox jött
le rá egyenest a gyártótól.
ISO telepítés nem megoldható, az nem tudja, ami nekem kell.
Egész nyáron stabilan működött egy 9.3-as Debianra telepített 3 node-os
cluster, pedig nyúztam rendesen. Most csak annyit változtattam a telepítés
módszerén, hogy a /var/log partíciónak 2GB-ot adtam.
Ezt csak azért, mert kísérleteztem a cluster hálózatban egy vacak TP-Link
switch-el és mivel az nem bírta a terhelést, felbomlott a cluster és
teleszórta a log partíciót.
2GB-ot viszont már nem telített meg semmilyen körülmények között több nap
alatt sem.

Ha van ötleted, megköszönöm! Nyugodtabb lennék én is ha tudnám miért omlott
össze.
Azért gondolom, hogy a támadással függhet össze, mert amióta telepítettem
az sshguard-ot, stabilan megy. Ez persze nem bizonyíték semmire, ezt én is
tudom.

Üdv,
Venczel József


Veres Sándor <veresh at kossuthzs-szeged.sulinet.hu> ezt írta (időpont: 2018.
szept. 20., Cs, 14:49):

> 2018.09.20. 9:19 keltezéssel, József Venczel írta:
> > A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16
> > óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre
> > a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
> > A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel
> > kizárom őket, mert fognak egy másik ip címet és folytatják arról.
> > Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre,
> > mert később ezen az interface-en letiltom az ssh-t.
> > Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>
> Ha a szerver egy alap telepítés, és kapott IPv6 címet is, és publikusan
> is elérhet kívülről, akkor IPv-6-on is elérhetik, támadhatják. Ha nincs
> szükség az IPv6-ra, akkor érdemes letiltani az IPv6-ot a szerver külső
> interfészén.
> Nem értem. Ha a szerverre nem jutnak be ssh-n, jelszóval nem is lehet
> belépni ssh-n, akkor mitől omlik össze a Proxmox? A proxmox webes
> felülete nem érhető el véletlenül kívülről, akár IPv6-on? A proxmox-ot
> utólag telepíted a szerverre? Milyen Debian verzió? Ha megoldható, akkor
> érdemes ISO-ból telepíteni a Proxmox-ot, tiszta telepítésként.
>
> > Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24
> > órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta.
>
> Ezzel magadat nem tiltod ki?
>
> Az alábbi beállításokat
> Port 14963 # de inkább egy másikat, mert ezt már közzétettük :)
> AddressFamily inet
> ListenAddress 127.0.0.1
> ListenAddress [IP-cím amin elérhető]
> LoginGraceTime 10
> PubkeyAuthentication yes
> # Expect .ssh/authorized_keys2 to be disregarded by default in future.
> AuthorizedKeysFile      .ssh/authorized_keys .ssh/authorized_keys2
>
> És ezeket is érdemes lehet beállítani megfelelő értékkel: MaxAuthTries,
> MaxSessions
>
> Veres Sándor
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20180920/0a8f172c/attachment.html>