abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 22:22 | Komunita

V Norimberku probíhá do neděle 28. května openSUSE Conference 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online. K dispozici jsou také videozáznamy (YouTube) již proběhnuvších přednášek. Dění lze sledovat na Twitteru.

Ladislav Hagara | Komentářů: 0
včera 11:33 | IT novinky

Red Hat kupuje společnost Codenvy stojící za stejnojmenným webovým (cloudovým) integrovaným vývojovým prostředím (WIDE) postaveném na Eclipse Che.

Ladislav Hagara | Komentářů: 0
včera 08:55 | Nová verze

V listopadu 2014 byl představen fork Debianu bez systemd pojmenovaný Devuan. Po dva a půl roce jeho vývojáři oznámili vydání první stabilní verze 1.0. Jedná se o verzi s dlouhodobou podporou (LTS) a její kódové jméno je Jessie, podle planetky s katalogovým číslem 10 464.

Ladislav Hagara | Komentářů: 10
25.5. 20:22 | Zajímavý článek

Nadace Raspberry Pi vydala již osmapadesáté číslo (pdf) stostránkového anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a druhé číslo (pdf) časopisu Hello World primárně určeného pro učitele informatiky a výpočetní techniky.

Ladislav Hagara | Komentářů: 0
25.5. 19:55 | Humor

Portál Stack Overflow informuje na svém blogu, že pomohl ukončit editor Vim už více než milionu vývojářů. V loňském roce například hledal odpověď na otázku Jak ukončit editor Vim v průměru 1 z 20 000 návštěvníků.

Ladislav Hagara | Komentářů: 10
25.5. 19:22 | Nová verze

Po pěti měsících od vydání verze 3.5.0 byla vydána nová stabilní verze 3.6.0, tj. první z nové řady 3.6, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie). Z novinek lze zmínit například podporu dvou nových 64bitových platforem little-endian POWER machines (ppc64le) a IBM z Systems (s390x) nebo nové balíčky Rust 1.17.0, Cargo 0.18.0, GHC 8.0.2 a Julia 0.5.2.

Ladislav Hagara | Komentářů: 0
24.5. 21:33 | Bezpečnostní upozornění

V Sambě byla nalezena a opravena bezpečnostní chyba CVE-2017-7494. Má-li útočník právo ukládat soubory na vzdálený server, může tam uložit připravenou sdílenou knihovnu a přinutit smbd server k jejímu načtení a tím pádem ke spuštění libovolných příkazů. Chyba je opravena v upstream verzích 4.6.4, 4.5.10 a 4.4.14. Chyba se týká všech verzí Samby od verze 3.5.0 vydané 1. března 2010.

Ladislav Hagara | Komentářů: 7
24.5. 20:44 | Nová verze

Byla vydána nová stabilní verze 4.3.0 integrovaného vývojového prostředí (IDE) Qt Creator. Z novinek lze zmínit například integraci editoru kódu do Qt Quick Designeru.

Ladislav Hagara | Komentářů: 1
24.5. 20:11 | Bezpečnostní upozornění

Společnost Check Point informuje na svém blogu o novém vektoru útoku. Pomocí titulků lze útočit na multimediální přehrávače VLC, Kodi, Popcorn Time, Stremio a pravděpodobně i další. Otevření útočníkem připraveného souboru s titulky v neaktualizovaném multimediálním přehrávači může vést ke spuštění libovolných příkazů pod právy uživatele. Ukázka na YouTube. Chyba je opravena v Kodi 17.2 nebo ve VLC 2.2.6.

Ladislav Hagara | Komentářů: 14
23.5. 15:18 | Zajímavý software

CrossOver, komerční produkt založený na Wine, je dnes (23. 5. 2017) dostupný ve slevě. Roční předplatné linuxové verze vyjde s kódem TWENTYONE na $21, resp. $1 v případě IP z chudších zemí. Firma CodeWeavers, která CrossOver vyvíjí, významně přispívá do Wine. Přidaná hodnota CrossOver spočívá v přívětivějším uživatelském rozhraní, integraci do desktopu a podpoře.

Fluttershy, yay! | Komentářů: 27
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (33%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 626 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: SSH : PAM : Zabezpečení

    Pavel V. avatar 20.11.2008 12:49 Pavel V. | skóre: 22 | Pardubice
    SSH : PAM : Zabezpečení
    Přečteno: 1268×
    Zdravím všechny. Potřeboval bych od váz radu. Již více jak 12 hodin jsou na mé sshd vedeny útoky a to v četnosti "nonstop". Lze nějak zvýšit zabezpečení mého sshd? Jediné co potřebuji je přihlášení pomocí hesla. Takže nevím jestli vůbec nějaký PAM potřebuji. Automaticky se mi IP adresy zařazují do blacklistu, ale útočník je neustále mění,takže mi je to k ničemu. Přihlášení uživatele root mám zakázáno.

    Vzorek útoků:
    Nov 20 12:42:55 mat sshd[9304]: reverse mapping checking getaddrinfo for segment-124-30.sify.net [124.30.157.4] failed - POSSIBLE BREAK-IN ATTEMPT!
    Nov 20 12:42:56 mat sshd[9304]: error: PAM: Authentication failure for root from 124.30.157.4
    Nov 20 12:43:24 mat sshd[9319]: error: PAM: Authentication failure for root from dsl-217-155-184-54.zen.co.uk
    Nov 20 12:45:00 mat sshd[9360]: error: PAM: Authentication failure for root from 62.138.9.189
    Nov 20 12:45:53 mat sshd[9404]: reverse mapping checking getaddrinfo for corporat200-69115174.sta.etb.net.co [200.69.115.174] failed - POSSIBLE BREAK-IN ATTEMPT!
    Nov 20 12:45:53 mat sshd[9404]: error: PAM: Authentication failure for root from 200.69.115.174
    Nov 20 12:46:33 mat sshd[9421]: error: PAM: Authentication failure for root from adsl-068-157-239-147.sip.mem.bellsouth.net
    Nov 20 12:47:16 mat sshd[9445]: error: PAM: Authentication failure for root from port-212-202-242-170.static.qsc.de

    Odpovědi

    Pavel V. avatar 20.11.2008 12:55 Pavel V. | skóre: 22 | Pardubice
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Nebo se ještě zeptám. Lze povolit přihlášení pouze vybraným uživatelům?
    20.11.2008 13:23 Michal
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Urcite lze spoustu veci:
    povolit prihlaseni jen z konkretni(ch) IP
    zakazat roota pres ssh
    hodit ssh na jiny port
    a ano, treba i povolit jen konkretni uzivatele
    
    m.
    Pavel V. avatar 20.11.2008 13:32 Pavel V. | skóre: 22 | Pardubice
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Mohou se přes ssh připojit systémový uživatelé? Lze zakázat přihlášení uživatelů s menším UID jak 1000?
    20.11.2008 14:14 miro
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    man sshd_config
    20.11.2008 13:17 overflow
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Caf,

    riesenie tvojho problem by mohol byt fail2ban

    http://www.fail2ban.org/wiki/index.php/Main_Page

    pri opakovanom pokuse odstrihne IP na predvoleny cas napr 15 min a je vybavene. pripadne si povol prihlasenie iba z konkretnej IP + kluce.
    Pavel V. avatar 20.11.2008 13:28 Pavel V. | skóre: 22 | Pardubice
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Na blokování IP používám aplikaci DenyHosts. Konkrétní adresy nemohu povolit, protože nejsou definovatelné. Připojuji se odkudkoli různými stroji.Klíče také nemohu mít neustále u sebe. Útočník neustále mění IP, takže v tomto případě to není řešením.
    20.11.2008 13:59 Semo | skóre: 44 | blog: Semo
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Netusim, co si predstavujes pod vyssim zabezpecenim sshd, ak utocnik len pouziva to, co si mu povolil a chces nechat povolene. Uz asi iba portknocking.
    If you hold a Unix shell up to your ear, you can you hear the C.
    Pavel V. avatar 20.11.2008 14:47 Pavel V. | skóre: 22 | Pardubice
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Takže již mám nastaveny pouze povolené uživatele. Přidal jsem do konfiguračního souboru parametr:
    AllowUsers jmena_povolenych uzivatelu_oddelena_mezerou
    Co ještě ten PAM potřebuji ho pro přihlašování heslem? Pokud zadám do konfiguračního souboru následující, přihlášení se nezdaří.
    UsePAM no
    PasswordAuthentication yes
    Parametr AllowedAuthentications není mou verzí sshd podporován.
    20.11.2008 14:54 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení

    Na tento problém jsem upozorňoval a vyzval k hledání řešení, leč žádné nebylo nalezeno.

    Jediný způsob, jak tento útok rozpoznat, je podle souvislé řady neúspěšných přihlášení k jednomu účtu. Jenže to znamená, že zablokovat se bude muset účet bez ohledu na zdrojovou adresu, a to znamená, že znemožníte pokus o regulérní přihlášení.

    Takže buď to risknete a uděláte blokování takto.

    Nebo se pokusíte prověřit adresu ještě před přihlášením (např. sdílenými seznamy útočníků – tohle ale vyžaduje důvěru nebo vlastní rozsáhlou síť honeypotů).

    Nebo proces přihlašovaní odlišíte od standardního, abyste mohl poznat standardní útok (různé formy ťukání – rozumná by byla sekvence pokusů přihlásit se na několik zvláštních účtů; vícefaktorová autentizace – např. jednorázová hesla doručovaná přes GSM).

    Pavel V. avatar 20.11.2008 15:33 Pavel V. | skóre: 22 | Pardubice
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Tak nějak mě napadá, lze zjistit MAC adresu útočníka?
    20.11.2008 15:35 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Kdyby to šlo, pak by stačilo jít po kabelu a dát mu po tlamě.
    20.11.2008 16:07 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Obecně ne. A i kdyby ano, k čemu by vám byla? Myslíte si snad, že se někde registruje, komu prodali kterou síťovou kartu?
    20.11.2008 17:44 miro
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení

    Přiznám se, že mi není úplně jasné, co chcete vlastně řešit. ssh jsou záměrně udělané dveře do systému, tak je logické, že kdokoli, kdo půjde kolem, může zkusit vzít za kliku. Pokud jsou ty dveře dostatečně masivní, a pokud rozumně zacházím s klíči od těch dveří (dostatečně silná hesla, nebo rovnou PasswordAuthentication no), tak prostě občas někdo bude klepat, a tím to končí. Dají se provádět i další věci - PermitRootLogin no a na roota "su-ovat" z účtu "Slw6k4ehjf7tR1qbn6" (viz tato debata), mít ssh na nestandardním portu nebo zprovoznit port knocking. Tím se dá bezpečnost mírně vylepšit (ano, vím, že někteří lidé s tímto názorem nebudou souhlasit, přestože slovo "mírně" zdůrazňuji), ale pořád jsou to ty dveře (tj. sshd), které musí v každém případě nápor útočníka vydržet.

    Osobně používám PasswordAuthentication no + mi sshd běží na nestandardním portu (tak trochu z historických důvodů). Za poslední měsíc to nevypadá na žádný pokud o průnik (což by mohlo znamenat, že většina útočníků se nechce zdržovat skenováním portů, a když rovnou nenarazí na otevřenou dvaadvacítku, tak táhnou dál), ale i kdyby to někdo zkoušel, asi by mě to moc netrápilo (nanejvýš bych pro jistotu překontroloval dostupné aktualizace systému).

    21.11.2008 13:19 miro
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Ještě mě napadlo, že asi největším posílením bezpečnosti by mohlo být zablokovat port ssh pro venkovní spojení a připojovat se skrz openvpn se zprovozněnou tls-auth volbou. Ale pokud je pro tazatele podmínkou možnost přihlašování se pomocí hesla, tak mu tohle řešení bude jen těžko vyhovovat.
    21.11.2008 13:33 jan.rok | skóre: 16
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Zdravím všechny.

    Také na mém serveru se včera objevil stejný problém. Ví někdo, jestli tyto útoky provádí nějaký virus? Podle toho, že to nepotkalo jen jednoho nešťastníka, bych usuzoval, že tyto útoky nepodniká nějaká osoba/PC, ale sofware, který je docela rozšířený.

    J.
    21.11.2008 17:06 mozog | skóre: 28
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Ahoj, pozrel som do logov na svojom serveri a pozeram, ze tiez tam mam podobne zaznamy, vyzera to ako slovnikovy utok, no vzhladom na silu mojich hesiel sa toho typu utoku velmi neobavam. :-)
    Pavel V. avatar 21.11.2008 19:27 Pavel V. | skóre: 22 | Pardubice
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Tak na mě už útočí více jak 36 hod. Přešel do druhé fáze. Nyní hledá uživatele, kteří mají povolení přihlásit se přes ssh. Zatím nenašel ani jednoho.
    21.11.2008 20:01 Cuda
    Rozbalit Rozbalit vše Re: SSH : PAM : Zabezpečení
    Nejjednoduší je povolit příhlášení jen pomocí rsa klíčů. Kde na svém PC máš svuj private klíč a public klíč uložíš na serveru a přihlásit se může jen ten, kdo má uložen publick klíč ke svému private klíči.

    Více info, kde je popis jak přihlášeni z windowsů nebo z linuxu dole v komentářích (jen tam se přihlašuje pomocí dsa klíče. http://www.linuxexpres.cz/okenko-do-oken/autentizace-pomoci-klicu

    Malé info z mého sshd:

    # Kde je uložen publick klíč AuthorizedKeysFile .ssh/authorized_keys

    #Dobrá rada, nejprve zjisti že se pomocí klíče přihlásíš, tak pak až zakaž přihlášení bez něj. # Authentication: prihlaseni jen pomoci klicu PasswordAuthentication no ChallengeResponseAuthentication no

    Ješte jedna rada na závěr. Pokud se budeš přihlašovat z windowsů pomocí putty, musíš si vygenerovat své klíče. Publick klíč neber z vytovřeného souboru, ale okopči si svůj publick přimo z puttygen.exe.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.