abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:23 | Humor

Nová služba České pošty nazvaná Bezpečné úložiště nabízí až 100GB kapacitu pro "bezpečnou správu Vašich dat pod patronací důvěryhodného partnera Česká pošta".

… více »
Lol Phirae | Komentářů: 23
včera 22:14 | Bezpečnostní upozornění

Nova kritická hrozba VPNfilter bola zistená po dlhšiej spolupráce Talos s verejnými i súkromnými bezpečnostnými agentúrami. VPNfilter ohrozuje približne 500 000 zariadení v približne 54 krajinach. Zasiahnutí výrobcovia sú Linksys, MikroTik, NETGEAR, TP-Link (SOHO), QNAP (NAS). Správanie malwaru je nebezpečnej povahy, čo môže v určitých prípadoch spôsobiť škody veľkého rozsahu. Často tieto zariadenia sú na perimetri sieťe bez ochrany.

ewew | Komentářů: 4
včera 21:55 | Pozvánky

CSNOG (Czech and Slovak Network Operators Group), první československé setkání síťových operátorů, se uskuteční 11. a 12. června v Brně. Akce je určena poskytovatelům internetového připojení, síťovým operátorům, provozovatelům registrů, internetovým odborníkům a všem zájemcům o internetové a síťové technologie. Program je zaměřený na odborná, technická témata jako například síťová architektura, bezpečnost sítí, zpracování dat, DNS a další. Nutná je registrace.

Ladislav Hagara | Komentářů: 0
včera 21:33 | Komunita

Na Humble Bundle lze získat počítačovou hru, simulátor hackování, Hacknet (Wikipedie, YouTube) běžící také v Linuxu zdarma. Tentokrát je ke stažení také verze bez DRM a navíc soundtrack. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
23.5. 20:11 | Zajímavý software

Alexandre Julliard oznámil jménem vývojového týmu Wine vydání první verze 1.0 knihovny vkd3d určené pro překlad volání Direct3D 12 na Vulkan. Zdrojové kódy vkd3d jsou k dispozici pod licencí LGPLv2.1+.

Ladislav Hagara | Komentářů: 1
23.5. 19:33 | Komunita

Dnešním dnem lze účet Firefoxu chránit dvoufázovým ověřováním (2FA). Implementován byl standard TOTP (Time-based One-Time Password).

Ladislav Hagara | Komentářů: 0
23.5. 15:17 | Pozvánky

Od pátku 25. 5. proběhne na Fakultě informačních technologií ČVUT v Praze openSUSE Conference. Můžete se těšit na spoustu zajímavých přednášek, workshopů a také na Release Party nového openSUSE Leap 15.0. Na stejném místě proběhne v sobotu 26. 5. i seminář o bezpečnosti CryptoFest.

Jendа | Komentářů: 0
23.5. 13:33 | Zajímavý software

Drawpile je svobodný multiplatformní program pro kreslení podporující společné kreslení několika uživatelů. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3+. Drawpile i Drawpile Server jsou ke stažení také ve formátu AppImage. Stačí tedy nastavit právo na spouštění a spustit.

Ladislav Hagara | Komentářů: 0
23.5. 09:44 | Zajímavý software

Kalifornskému Muzeu počítačové historie (Computer History Museum) se po pěti letech vyjednávání se společností Qualcomm podařilo získat veškerá práva na poštovního klienta Eudora (Wikipedie), tj. kromě zdrojových kódů muzeum získalo také ochranní známku Eudora nebo domény eudora.com a eudora.org. Po pročištění byly zdrojové kódy Eudory uvolněny pod licencí BSD.

Ladislav Hagara | Komentářů: 6
22.5. 15:00 | Nová verze

Byla vydána nová stabilní verze 5.11 toolkitu Qt. Přehled novinek v příspěvku na blogu a na wiki stránce. Další dnešní příspěvek na blogu Qt je věnován Qt pro WebAssembly umožňujícímu běh Qt aplikací ve webovém prohlížeči. K vyzkoušení jsou příklady.

Ladislav Hagara | Komentářů: 0
Používáte pro některé služby inetd?
 (34%)
 (23%)
 (43%)
Celkem 152 hlasů
 Komentářů: 5, poslední 22.5. 16:46
    Rozcestník

    Dotaz: odříznutí záškodníka

    1.11.2013 21:05 Pavel
    odříznutí záškodníka
    Přečteno: 1247×
    Ahoj, na ssh se mi snaží připojit nějaký robot, který neustále zkouší uživatelský jména. Má ale smůlu, protože mám klíče. Ale štve mě.. jak ho mám odříznout, aby se mě na ssh vůbec nedostal? Díky
    Received disconnect from 222.33.62.178: 11: Bye Bye [preauth]

    Řešení dotazu:


    Odpovědi

    Řešení 2× (camel1cz, Tomáš Bžatek)
    1.11.2013 21:11 Milan Beneš | skóre: 17 | blog: Kraft_durch_Freude
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    fail2ban
    Řešení 1× (mhepp)
    vladky avatar 1.11.2013 21:17 vladky | skóre: 18
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Ahoj
    Do suboru /etc/hosts.deny pridaj riadok:

    sshd: 222.33.62.178
    1.11.2013 21:46 Pavel
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    super! diky. Omlouvam se za zacatecnicky dotaz:)
    3.11.2013 03:40 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Tohle ovšem funguje pouze v distrech, která používají tcp-wrappers.
    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Řešení 1× (MMMMMMMMM)
    3.11.2013 03:43 loki
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    iptables -t filter -A INPUT -s 222.33.62.178 -p tcp --dport 22 -j DROP
    3.11.2013 08:30 Tomas
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    zvysit port SSH? robot testuje jen 22, pokud ho das nekam vyse a nkedo to bud zkouset dal je to uz cileny utok
    3.11.2013 08:49 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Předělávat zavedenou službu kvůli jednomu hloupému záškodníkovi? Vždyť ani nevíš, kolik dalších služeb bys tomu adminovi rozboural.
    3.11.2013 10:11 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    SSH z venku je proste demence..
    3.11.2013 10:16 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Jak jinak se chceš zvenku dostat než přes SSH?
    3.11.2013 11:40 2012 | skóre: 15 | blog: co_me_dneska_napadlo
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    udelat vpn a povolit ssh jen pres vpn?
    3.11.2013 11:51 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    VPN je bezpečnější než SSH?
    4.11.2013 15:15 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No, pokud do VPN zahrneme PPTP, tak (zatím) je prokazatelně bezpečnější SSH ;-).
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    4.11.2013 15:42 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Ze jsem nedrzel hubu ;). Nema ted v defaultu PPTP fallback na SSTP?
    4.11.2013 16:02 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Nevím v jakém defaultu, možná v nějakém jo, ale PPTP lze spustit na black/white box krabičkách na jedno kliknutí a taková VPN je prokazatelně méně bezpečná než SSH. Jinak nevidím rozdíl v bezpečnosti mezi vpn nebo ssh tunelem obecně.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    4.11.2013 12:58 pocitujlasku | skóre: 15
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Uz vidim, ako si na smartfone instalujes VPN. Nie vzdy nosim so sebou aj notas a tak mam ssh klienta v mobile. V pripade zavaznych problemov sa viem kedykolvek a odkialkolvek pripojit a skontrolovat stav. Je to vec na nezaplatenie

    4.11.2013 13:16 jandanielcz | skóre: 6 | blog: druhá kolej
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No já na mobilu VPN měl, hlavně pro přístup na síťové složky. Ale jinak taky nejsem pro skrývání SSH do VPN.
    odpočívat někde venku...
    3.11.2013 10:44 hermelin | skóre: 21
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No to je opravdu nazor "mistra" :-)!. Ano mame na linuxu moznost pristupu ssh ale je demence toho z venku vyuzivat. Tohle muze napsat jenom hlupak !!!

    Ano otevrene SSH je ucite riziko jako jakakoliv jina sluzba pristupna z internetu. Proto je dulezite umet sluzby spravne nakonfigurovat, spravovat a udrzovat.

    mezi nejdulezitejsi patri:

    - povolit ssh pouze uzivatelum ktere jej potrebuji

    - pouzivat pro prihlasovani dostatecne silne sifrovane klice (nikoliv hesla)

    - v iptables napr. pouzivat recent pripadne GEOIP (z ciny se asi opravdu nebudete hlasit pres ssh) pripadne pouzit fail2ban

    - aktualizovat pokud je objeven bezpecnostni problem

    - pripadne pouzivat hosts.allow/hosts.allow

    - pripadne pouzit jiny port nez 22

    - kontrolovat logy na ssh pristupy
    3.11.2013 11:59 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    SSH z venku, to je jak RDP z venku, casem to proste zacne nekdo lamat, taky proc ne.. Btw. s tema klicema to taky tak slavne nebylo viz https://factorable.net/paper.html. Port 2222, geoip, fail2ban etc. proste zbytecnost. To je VPN fakt problem? Ma zaheslovany silny klic a konec. Jeste jsem se nesetkal, ze by nekdo lamal VPN, nehlede na to ze krz ni tece za se SSH takze dvoji prace a strata casu.. Takze nazor nemenim ;).
    3.11.2013 12:06 DarkKnight | skóre: 25
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    takze vpn pres klic je bezpecnejsi nez ssh pres klic?
    3.11.2013 12:32 hermelin | skóre: 21
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    "Port 2222, geoip, fail2ban" - proste zbytecnost ?! Nejakej opravnenej argument ?

    Ano kvuli SSH ktere lze pouzivat s certifikatama stejne jako VPN si nejprve nainstaluju VPN a pak tak budu chodit na SSH. To je fakt hlavou ! :-). Diky tomu nam na serveru pribude dalsi SW ktery muze mit potencionalne bezpecnostni chybu.

    A az budou boty napadat VPN koncetrator tak zrusime VPN a budeme chodit do serverovny na konzoli ! :-))))))))

    Neni nad "odborne" reseni problemu - protoze blokace a predchazeni utokum je fakt zbytecnost ! :-)
    3.11.2013 15:31 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Vzdyt to nedava smysl. Vystrcis na protivnika holy zadek a budes na nej lepit kalhoty? Kravina. VPN je daleko bezpecnejsi pri pouziti silneho sifrovani, zarucuje vyceurovnovou ochranu a navic centralni pristup. Nebavime se o domacim serveru, ale o sprave desitek zarizeni najednou.
    4.11.2013 09:59 Milan Uhrák | skóre: 28 | blog: milan_at_ABC
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    fuckt odborník, twl ..
    4.11.2013 10:38 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Pavel psal o jednom serveru, o správě desítek zařízení najednou se tedy nebavíme.
    4.11.2013 11:14 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Rozumim.
    4.11.2013 13:49 SSH datel
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Vase presvedceni, ze VPN je bezpecnejsi nez SSH, jste ziskal na kurzech pleteni nebo z TV NOVA?
    4.11.2013 20:21 Sten
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Aha, VPN s RSA klíčema (jako třeba OpenVPN) je bezpečnější než SSH s RSA klíčema. To jsou věci :-)
    4.11.2013 19:41 mikky | skóre: 25 | blog: Ghlog | M. L. - Praha
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Zrovna s tou čínou bych si na to dával pozor. Neni nad to, když si na dovolený v Hong Kongu a přijde ti smska, že se podělal webserver a ty máš filtr na geoip :) nemít tenkrát bokem server na hraní, měl bych problém :)
    Je vám méně než 30 ? (jsme vrstevnící => budeme si tykat) : (jsem pro vás bažant => můžete mi tykat);
    3.11.2013 12:33 alkoholik | skóre: 36 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Jestli k tomu serveru pristupujes jenom ty, tak si nahod portknock.
    Fail2ban je dobry, ale utoky se dnes distribuuji z botnetu a vyssi porty ti oscanuji.
    4.11.2013 10:12 Milan Uhrák | skóre: 28 | blog: milan_at_ABC
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    hm .. portknock vypada opravdu dobře ..

    osobně používám fail2ban, poslední modifikace jsou síce čim dál komplikovanější a dokáží rozpoznat útoky nejen na ssh, ale princip je jednoduchý a spolehlivý. Jednou za čas se podívám na logy fail2ban, a přes ripe nebo arin kouknu, odkud vítr fouká, a většinou do blacklistu shorewalu hodím rovnou celý rozsah, hlavně s Asii se nepářu, ale obecně jiné kontinenty banuju v /8 rozsahu.
    4.11.2013 10:47 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Nerozumím trochu, proč je kolem blokování IP rozsahů takový cirkus. Když mám přístup na ssh jen přes klíče a ty jsou dostatečně silné, tak se tam útočník nedostane. Pár paketů navíc linka ani nepozná a nikdy jsem neměl na ssh útok takový, že by kolaboval systém. Obvykle počet pokusů o vstup je tak stovky za hodinu. Pokud se trochu pohybuji po světě, tak nikdy netuším, jaké IP rozsahy jsou v tom kterém hotelu, letišti nebo hospodě. Někam přijet a zjistit, že se k sobě nedostanu, protože jsem si chytře sám sobě blokl rozsah, by mě celkem naštvalo.
    4.11.2013 11:15 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Blokování IP rozsahů i jednotlivých IP adres je v podstatě nesmysl, protože to nefunguje korektně pro IPv6.

    Těžko si lze dnes představit server, který nemá IPv6, pokud ho ovšem neprovozuje dědeček pro účely nostalgie, že ano... Jenže s IPv6 většina způsobů blokování IP adres známých z IPv4 selhává. Zaprvé, ne každá banovací utilita rozumně podporuje IPv6. Zadruhé, u IPv6 se nebavíme o blokování jedné adresy, protože každý útočník si může vygenerovat tolik adres, že se nevejdou do žádné blokovací tabulky ani na disk. Znamená to tedy, že by se v případě IPv6 měly blokovat celé rozsahy? To rovněž není rozumně proveditelné, protože se nedá úplně snadno a rychle zjistit, zda daný útočník má /32, /48, /64 nebo jiný rozsah, a protože v daném rozsahu může být potenciálně spousta dalších počítačů, které do botnetu nepatří a které nechceme odříznout všechny najednou.

    Blokování adres má obecně ještě jeden zásadní problém: Proč by někdo věřil IP adresám? IP adresu může podvrhnout kdokoliv, kdo má přístup na některý (z hlediska daného serveru) důležitý router. (Nejbližší router u poskytovatele bude samozřejmě „nejrizikovější“ pro počítače k němu připojené.) IP adresa nepodléhá žádné autentifikaci. Tedy filtrování a blokování na základě IP adres sice může některým útočníkům trochu ztížit práci, ale obecně vzato je neúčinné.

    Kryptografická autentifikace (SSH a spousta typů VPN) problém nedůvěryhodnosti IP adres řeší a je to zatím v podstatě jediné řešení tohoto problému, které existuje. (Může ovšem přestat existovat, pokud NSA příliš pokročí s experimenty na kvantových strojích.) Umím si představit případy, ve kterých by filtrování na základě IP adres mohlo částečně pomoct proti některým DDOS útokům, ale SSH mezi ně nepatří.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 12:30 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Spousta serverů má jen IPv4, zvláště proto, že mají konektivitu jen přes IPv4.

    Blokování adres není o důvěře, ale o eliminaci.

    Pokud nebudu DROP-ovat neúspěšné požadavky na SSH dle IP, tak mi to sebere až půlku trubky (např. na ADSL 3500/256), protože botnety to považují za potencionálně dostupné. A stále nevím jak to bude, až v těchto případech, tam ta konektivita IPv6 bude…

    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    4.11.2013 12:31 GeorgeWH | skóre: 37
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    aha, takze nebudeme blokovat ipv4 adresy/rozsahy, pretoze to nefunguje s ipv6... a kolko ze to ludi ma dnes ipv6...?
    4.11.2013 13:32 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    IPv6 má mimo jiné každý, kdo má aspoň jednu veřejnou IPv4 adresu. Nevím, kolik lidí celkově má IPv6, a nezajímá mě to. Jde přinejmenším o všechny uživatele ADSL i kabelových připojení. (Kolik lidí IPv6 skutečně používá, to je samozřejmě zcela jiná otázka. Odpověď mě rovněž nikdy nezajímala.)

    Adresy a rozsahy IPv4 nebudeme blokovat v případech, kdy to nemá smysl. V případě SSH to nemá smysl. Jinak je tomu v případě protokolů, kde i neplatné požadavky můžou znamenat velmi netriviální zatížení sítě i výpočetní kapacity, tedy například u webových serverů. Nicméně o těch tu nebyla řeč.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 14:22 alkoholik | skóre: 36 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    WTF?
    IPv6 adresa != IPv6 konektivita.
    4.11.2013 16:15 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Na co přesně reaguješ? Nebo je to jen drobný problém s porozuměním psanému textu? Tvrdil jsem toto:

    veřejná IPv4 adresa == IPv6 konektivita

    Samozřejmě záleží na uživateli, jestli svou IPv6 konektivitu využije. Podobně někdo může mít třeba IPv4 konektivitu a nepoužívat ji. (Protože si náležitě nenastaví síťové rozhraní nebo nepřipojí žádné zařízení.)

    O samotné IPv6 adrese (bez příslušné konektivity) jsem tady žádné obecné tvrzení nepsal.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 16:20 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    No, ať nežeru, když už slovíčkaříme, takhle by to mělo být:

    IPv4 konektivita s veřejnou IPv4 adresou => IPv6 konektivita

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 19:13 alkoholik | skóre: 36 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No a to je prave ten bullshit.
    4.11.2013 19:14 alkoholik | skóre: 36 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Muze mit tunel != ma konektivitu.
    4.11.2013 11:31 alkoholik | skóre: 36 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    A proc mu asi radim portknock?
    4.11.2013 19:53 GAZDOWN | skóre: 7
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Do budoucna by takovýmto problémům měl pomoci předcházet sshguard a jemu podobný sw.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.