abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 12:55 | Nová verze

Byla vydána verze 17.12.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace, které nebyly dosud portovány na KDE Frameworks 5, byly z KDE Aplikací odstraněny.

Ladislav Hagara | Komentářů: 20
včera 03:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Company of Heroes 2 (Wikipedie, YouTube) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Zajímavý software

Christian Kellner představil na svém blogu projekt Bolt řešící bezpečnost rozhraní Thunderbolt 3 na Linuxu. Pomocí příkazu boltctl nebo rozšíření GNOME Shellu lze komunikovat s démonem boltd a například zakázat neznámá zařízení a předejít tak útokům typu Thunderstrike nebo DMA.

Ladislav Hagara | Komentářů: 6
včera 01:00 | Nová verze

Po půl roce vývoje od vydání verze 11.0 byla vydána verze 11.1 svobodného softwaru pro vytváření datových úložišť na síti FreeNAS (Wikipedie). Nejnovější FreeNAS je postaven na FreeBSD 11.1. Přehled novinek v příspěvku na blogu. Zdůraznit lze zvýšení výkonu OpenZFS, počáteční podporu Dockeru nebo synchronizaci s cloudovými službami Amazon S3 (Simple Storage Services), Backblaze B2 Cloud, Google Cloud a Microsoft Azure

Ladislav Hagara | Komentářů: 0
14.12. 23:55 | Nová verze

Po dvou měsících vývoje od vydání verze 235 oznámil Lennart Poettering vydání verze 236 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 6
14.12. 20:00 | Nová verze Ladislav Hagara | Komentářů: 0
14.12. 19:33 | Pozvánky

Pražská Fedora 27 Release Party, oslava nedávného vydání Fedory 27, se uskuteční 19. prosince od 19:00 v prostorách společnosti Etnetera (Jankovcova 1037/49). Na programu budou přednášky o novinkách, diskuse, neřízený networking atd.

Ladislav Hagara | Komentářů: 0
14.12. 18:11 | Nová verze

Byla vydána verze 2.11.0 QEMU (Wikipedie). Přispělo 165 vývojářů. Provedeno bylo více než 2 000 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
14.12. 17:44 | Komunita

Canonical oznámil dostupnost kryptografických balíčků s certifikací FIPS 140-2 úrovně 1 pro Ubuntu 16.04 LTS pro předplatitele podpory Ubuntu Advantage Advanced. Certifikace FIPS (Federal Information Processing Standards) jsou vyžadovány (nejenom) vládními institucemi USA.

Ladislav Hagara | Komentářů: 3
14.12. 16:11 | Zajímavý software

Společnost Avast uvolnila zdrojové kódy svého dekompilátoru RetDec (Retargetable Decompiler) založeného na LLVM. Vyzkoušet lze RetDec jako webovou službu nebo plugin pro interaktivní disassembler IDA. Zdrojové kódy RetDec jsou k dispozici na GitHubu pod open source licencí MIT.

Ladislav Hagara | Komentářů: 3
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (76%)
 (14%)
Celkem 997 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Dotaz: odříznutí záškodníka

    1.11.2013 21:05 Pavel
    odříznutí záškodníka
    Přečteno: 1243×
    Ahoj, na ssh se mi snaží připojit nějaký robot, který neustále zkouší uživatelský jména. Má ale smůlu, protože mám klíče. Ale štve mě.. jak ho mám odříznout, aby se mě na ssh vůbec nedostal? Díky
    Received disconnect from 222.33.62.178: 11: Bye Bye [preauth]

    Řešení dotazu:


    Odpovědi

    Řešení 2× (camel1cz, Tomáš Bžatek)
    1.11.2013 21:11 Milan Beneš | skóre: 17 | blog: Kraft_durch_Freude
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    fail2ban
    Řešení 1× (mhepp)
    vladky avatar 1.11.2013 21:17 vladky | skóre: 18
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Ahoj
    Do suboru /etc/hosts.deny pridaj riadok:

    sshd: 222.33.62.178
    1.11.2013 21:46 Pavel
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    super! diky. Omlouvam se za zacatecnicky dotaz:)
    3.11.2013 03:40 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Tohle ovšem funguje pouze v distrech, která používají tcp-wrappers.
    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Řešení 1× (MMMMMMMMM)
    3.11.2013 03:43 loki
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    iptables -t filter -A INPUT -s 222.33.62.178 -p tcp --dport 22 -j DROP
    3.11.2013 08:30 Tomas
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    zvysit port SSH? robot testuje jen 22, pokud ho das nekam vyse a nkedo to bud zkouset dal je to uz cileny utok
    3.11.2013 08:49 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Předělávat zavedenou službu kvůli jednomu hloupému záškodníkovi? Vždyť ani nevíš, kolik dalších služeb bys tomu adminovi rozboural.
    3.11.2013 10:11 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    SSH z venku je proste demence..
    3.11.2013 10:16 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Jak jinak se chceš zvenku dostat než přes SSH?
    3.11.2013 11:40 2012 | skóre: 15 | blog: co_me_dneska_napadlo
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    udelat vpn a povolit ssh jen pres vpn?
    3.11.2013 11:51 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    VPN je bezpečnější než SSH?
    4.11.2013 15:15 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No, pokud do VPN zahrneme PPTP, tak (zatím) je prokazatelně bezpečnější SSH ;-).
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    4.11.2013 15:42 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Ze jsem nedrzel hubu ;). Nema ted v defaultu PPTP fallback na SSTP?
    4.11.2013 16:02 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Nevím v jakém defaultu, možná v nějakém jo, ale PPTP lze spustit na black/white box krabičkách na jedno kliknutí a taková VPN je prokazatelně méně bezpečná než SSH. Jinak nevidím rozdíl v bezpečnosti mezi vpn nebo ssh tunelem obecně.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    4.11.2013 12:58 pocitujlasku | skóre: 15
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Uz vidim, ako si na smartfone instalujes VPN. Nie vzdy nosim so sebou aj notas a tak mam ssh klienta v mobile. V pripade zavaznych problemov sa viem kedykolvek a odkialkolvek pripojit a skontrolovat stav. Je to vec na nezaplatenie

    4.11.2013 13:16 jandanielcz | skóre: 6 | blog: druhá kolej
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No já na mobilu VPN měl, hlavně pro přístup na síťové složky. Ale jinak taky nejsem pro skrývání SSH do VPN.
    odpočívat někde venku...
    3.11.2013 10:44 hermelin | skóre: 22
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No to je opravdu nazor "mistra" :-)!. Ano mame na linuxu moznost pristupu ssh ale je demence toho z venku vyuzivat. Tohle muze napsat jenom hlupak !!!

    Ano otevrene SSH je ucite riziko jako jakakoliv jina sluzba pristupna z internetu. Proto je dulezite umet sluzby spravne nakonfigurovat, spravovat a udrzovat.

    mezi nejdulezitejsi patri:

    - povolit ssh pouze uzivatelum ktere jej potrebuji

    - pouzivat pro prihlasovani dostatecne silne sifrovane klice (nikoliv hesla)

    - v iptables napr. pouzivat recent pripadne GEOIP (z ciny se asi opravdu nebudete hlasit pres ssh) pripadne pouzit fail2ban

    - aktualizovat pokud je objeven bezpecnostni problem

    - pripadne pouzivat hosts.allow/hosts.allow

    - pripadne pouzit jiny port nez 22

    - kontrolovat logy na ssh pristupy
    3.11.2013 11:59 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    SSH z venku, to je jak RDP z venku, casem to proste zacne nekdo lamat, taky proc ne.. Btw. s tema klicema to taky tak slavne nebylo viz https://factorable.net/paper.html. Port 2222, geoip, fail2ban etc. proste zbytecnost. To je VPN fakt problem? Ma zaheslovany silny klic a konec. Jeste jsem se nesetkal, ze by nekdo lamal VPN, nehlede na to ze krz ni tece za se SSH takze dvoji prace a strata casu.. Takze nazor nemenim ;).
    3.11.2013 12:06 DarkKnight | skóre: 25
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    takze vpn pres klic je bezpecnejsi nez ssh pres klic?
    3.11.2013 12:32 hermelin | skóre: 22
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    "Port 2222, geoip, fail2ban" - proste zbytecnost ?! Nejakej opravnenej argument ?

    Ano kvuli SSH ktere lze pouzivat s certifikatama stejne jako VPN si nejprve nainstaluju VPN a pak tak budu chodit na SSH. To je fakt hlavou ! :-). Diky tomu nam na serveru pribude dalsi SW ktery muze mit potencionalne bezpecnostni chybu.

    A az budou boty napadat VPN koncetrator tak zrusime VPN a budeme chodit do serverovny na konzoli ! :-))))))))

    Neni nad "odborne" reseni problemu - protoze blokace a predchazeni utokum je fakt zbytecnost ! :-)
    3.11.2013 15:31 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Vzdyt to nedava smysl. Vystrcis na protivnika holy zadek a budes na nej lepit kalhoty? Kravina. VPN je daleko bezpecnejsi pri pouziti silneho sifrovani, zarucuje vyceurovnovou ochranu a navic centralni pristup. Nebavime se o domacim serveru, ale o sprave desitek zarizeni najednou.
    4.11.2013 09:59 Milan Uhrák | skóre: 26 | blog: milan_at_ABC
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    fuckt odborník, twl ..
    4.11.2013 10:38 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Pavel psal o jednom serveru, o správě desítek zařízení najednou se tedy nebavíme.
    4.11.2013 11:14 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Rozumim.
    4.11.2013 13:49 SSH datel
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Vase presvedceni, ze VPN je bezpecnejsi nez SSH, jste ziskal na kurzech pleteni nebo z TV NOVA?
    4.11.2013 20:21 Sten
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Aha, VPN s RSA klíčema (jako třeba OpenVPN) je bezpečnější než SSH s RSA klíčema. To jsou věci :-)
    4.11.2013 19:41 mikky | skóre: 25 | blog: Ghlog | M. L. - Praha
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Zrovna s tou čínou bych si na to dával pozor. Neni nad to, když si na dovolený v Hong Kongu a přijde ti smska, že se podělal webserver a ty máš filtr na geoip :) nemít tenkrát bokem server na hraní, měl bych problém :)
    Je vám méně než 30 ? (jsme vrstevnící => budeme si tykat) : (jsem pro vás bažant => můžete mi tykat);
    3.11.2013 12:33 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Jestli k tomu serveru pristupujes jenom ty, tak si nahod portknock.
    Fail2ban je dobry, ale utoky se dnes distribuuji z botnetu a vyssi porty ti oscanuji.
    4.11.2013 10:12 Milan Uhrák | skóre: 26 | blog: milan_at_ABC
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    hm .. portknock vypada opravdu dobře ..

    osobně používám fail2ban, poslední modifikace jsou síce čim dál komplikovanější a dokáží rozpoznat útoky nejen na ssh, ale princip je jednoduchý a spolehlivý. Jednou za čas se podívám na logy fail2ban, a přes ripe nebo arin kouknu, odkud vítr fouká, a většinou do blacklistu shorewalu hodím rovnou celý rozsah, hlavně s Asii se nepářu, ale obecně jiné kontinenty banuju v /8 rozsahu.
    4.11.2013 10:47 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Nerozumím trochu, proč je kolem blokování IP rozsahů takový cirkus. Když mám přístup na ssh jen přes klíče a ty jsou dostatečně silné, tak se tam útočník nedostane. Pár paketů navíc linka ani nepozná a nikdy jsem neměl na ssh útok takový, že by kolaboval systém. Obvykle počet pokusů o vstup je tak stovky za hodinu. Pokud se trochu pohybuji po světě, tak nikdy netuším, jaké IP rozsahy jsou v tom kterém hotelu, letišti nebo hospodě. Někam přijet a zjistit, že se k sobě nedostanu, protože jsem si chytře sám sobě blokl rozsah, by mě celkem naštvalo.
    4.11.2013 11:15 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Blokování IP rozsahů i jednotlivých IP adres je v podstatě nesmysl, protože to nefunguje korektně pro IPv6.

    Těžko si lze dnes představit server, který nemá IPv6, pokud ho ovšem neprovozuje dědeček pro účely nostalgie, že ano... Jenže s IPv6 většina způsobů blokování IP adres známých z IPv4 selhává. Zaprvé, ne každá banovací utilita rozumně podporuje IPv6. Zadruhé, u IPv6 se nebavíme o blokování jedné adresy, protože každý útočník si může vygenerovat tolik adres, že se nevejdou do žádné blokovací tabulky ani na disk. Znamená to tedy, že by se v případě IPv6 měly blokovat celé rozsahy? To rovněž není rozumně proveditelné, protože se nedá úplně snadno a rychle zjistit, zda daný útočník má /32, /48, /64 nebo jiný rozsah, a protože v daném rozsahu může být potenciálně spousta dalších počítačů, které do botnetu nepatří a které nechceme odříznout všechny najednou.

    Blokování adres má obecně ještě jeden zásadní problém: Proč by někdo věřil IP adresám? IP adresu může podvrhnout kdokoliv, kdo má přístup na některý (z hlediska daného serveru) důležitý router. (Nejbližší router u poskytovatele bude samozřejmě „nejrizikovější“ pro počítače k němu připojené.) IP adresa nepodléhá žádné autentifikaci. Tedy filtrování a blokování na základě IP adres sice může některým útočníkům trochu ztížit práci, ale obecně vzato je neúčinné.

    Kryptografická autentifikace (SSH a spousta typů VPN) problém nedůvěryhodnosti IP adres řeší a je to zatím v podstatě jediné řešení tohoto problému, které existuje. (Může ovšem přestat existovat, pokud NSA příliš pokročí s experimenty na kvantových strojích.) Umím si představit případy, ve kterých by filtrování na základě IP adres mohlo částečně pomoct proti některým DDOS útokům, ale SSH mezi ně nepatří.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 12:30 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Spousta serverů má jen IPv4, zvláště proto, že mají konektivitu jen přes IPv4.

    Blokování adres není o důvěře, ale o eliminaci.

    Pokud nebudu DROP-ovat neúspěšné požadavky na SSH dle IP, tak mi to sebere až půlku trubky (např. na ADSL 3500/256), protože botnety to považují za potencionálně dostupné. A stále nevím jak to bude, až v těchto případech, tam ta konektivita IPv6 bude…

    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    4.11.2013 12:31 GeorgeWH | skóre: 36
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    aha, takze nebudeme blokovat ipv4 adresy/rozsahy, pretoze to nefunguje s ipv6... a kolko ze to ludi ma dnes ipv6...?
    4.11.2013 13:32 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    IPv6 má mimo jiné každý, kdo má aspoň jednu veřejnou IPv4 adresu. Nevím, kolik lidí celkově má IPv6, a nezajímá mě to. Jde přinejmenším o všechny uživatele ADSL i kabelových připojení. (Kolik lidí IPv6 skutečně používá, to je samozřejmě zcela jiná otázka. Odpověď mě rovněž nikdy nezajímala.)

    Adresy a rozsahy IPv4 nebudeme blokovat v případech, kdy to nemá smysl. V případě SSH to nemá smysl. Jinak je tomu v případě protokolů, kde i neplatné požadavky můžou znamenat velmi netriviální zatížení sítě i výpočetní kapacity, tedy například u webových serverů. Nicméně o těch tu nebyla řeč.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 14:22 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    WTF?
    IPv6 adresa != IPv6 konektivita.
    4.11.2013 16:15 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Na co přesně reaguješ? Nebo je to jen drobný problém s porozuměním psanému textu? Tvrdil jsem toto:

    veřejná IPv4 adresa == IPv6 konektivita

    Samozřejmě záleží na uživateli, jestli svou IPv6 konektivitu využije. Podobně někdo může mít třeba IPv4 konektivitu a nepoužívat ji. (Protože si náležitě nenastaví síťové rozhraní nebo nepřipojí žádné zařízení.)

    O samotné IPv6 adrese (bez příslušné konektivity) jsem tady žádné obecné tvrzení nepsal.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 16:20 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    No, ať nežeru, když už slovíčkaříme, takhle by to mělo být:

    IPv4 konektivita s veřejnou IPv4 adresou => IPv6 konektivita

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 19:13 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No a to je prave ten bullshit.
    4.11.2013 19:14 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Muze mit tunel != ma konektivitu.
    4.11.2013 11:31 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    A proc mu asi radim portknock?
    4.11.2013 19:53 GAZDOWN | skóre: 7
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Do budoucna by takovýmto problémům měl pomoci předcházet sshguard a jemu podobný sw.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.