abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 0
včera 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 16
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 8
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 2
2.12. 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
2.12. 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
2.12. 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 767 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: odříznutí záškodníka

1.11.2013 21:05 Pavel
odříznutí záškodníka
Přečteno: 1232×
Ahoj, na ssh se mi snaží připojit nějaký robot, který neustále zkouší uživatelský jména. Má ale smůlu, protože mám klíče. Ale štve mě.. jak ho mám odříznout, aby se mě na ssh vůbec nedostal? Díky
Received disconnect from 222.33.62.178: 11: Bye Bye [preauth]

Řešení dotazu:


Odpovědi

Řešení 2× (camel1cz, Tomáš Bžatek)
1.11.2013 21:11 Milan Beneš | skóre: 17 | blog: Kraft_durch_Freude
Rozbalit Rozbalit vše Re: odříznutí záškodníka
fail2ban
Řešení 1× (mhepp)
vladky avatar 1.11.2013 21:17 vladky | skóre: 18
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Ahoj
Do suboru /etc/hosts.deny pridaj riadok:

sshd: 222.33.62.178
1.11.2013 21:46 Pavel
Rozbalit Rozbalit vše Re: odříznutí záškodníka
super! diky. Omlouvam se za zacatecnicky dotaz:)
3.11.2013 03:40 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Tohle ovšem funguje pouze v distrech, která používají tcp-wrappers.
ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
Řešení 1× (MMMMMMMMM)
3.11.2013 03:43 loki
Rozbalit Rozbalit vše Re: odříznutí záškodníka
iptables -t filter -A INPUT -s 222.33.62.178 -p tcp --dport 22 -j DROP
3.11.2013 08:30 Tomas
Rozbalit Rozbalit vše Re: odříznutí záškodníka
zvysit port SSH? robot testuje jen 22, pokud ho das nekam vyse a nkedo to bud zkouset dal je to uz cileny utok
3.11.2013 08:49 Kit
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Předělávat zavedenou službu kvůli jednomu hloupému záškodníkovi? Vždyť ani nevíš, kolik dalších služeb bys tomu adminovi rozboural.
3.11.2013 10:11 NN
Rozbalit Rozbalit vše Re: odříznutí záškodníka
SSH z venku je proste demence..
3.11.2013 10:16 Kit
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Jak jinak se chceš zvenku dostat než přes SSH?
3.11.2013 11:40 2012 | skóre: 15 | blog: co_me_dneska_napadlo
Rozbalit Rozbalit vše Re: odříznutí záškodníka
udelat vpn a povolit ssh jen pres vpn?
3.11.2013 11:51 Kit
Rozbalit Rozbalit vše Re: odříznutí záškodníka
VPN je bezpečnější než SSH?
4.11.2013 15:15 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: odříznutí záškodníka
No, pokud do VPN zahrneme PPTP, tak (zatím) je prokazatelně bezpečnější SSH ;-).
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
4.11.2013 15:42 NN
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Ze jsem nedrzel hubu ;). Nema ted v defaultu PPTP fallback na SSTP?
4.11.2013 16:02 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Nevím v jakém defaultu, možná v nějakém jo, ale PPTP lze spustit na black/white box krabičkách na jedno kliknutí a taková VPN je prokazatelně méně bezpečná než SSH. Jinak nevidím rozdíl v bezpečnosti mezi vpn nebo ssh tunelem obecně.
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
4.11.2013 12:58 pocitujlasku | skóre: 15
Rozbalit Rozbalit vše Re: odříznutí záškodníka

Uz vidim, ako si na smartfone instalujes VPN. Nie vzdy nosim so sebou aj notas a tak mam ssh klienta v mobile. V pripade zavaznych problemov sa viem kedykolvek a odkialkolvek pripojit a skontrolovat stav. Je to vec na nezaplatenie

4.11.2013 13:16 jandanielcz | skóre: 6 | blog: druhá kolej
Rozbalit Rozbalit vše Re: odříznutí záškodníka
No já na mobilu VPN měl, hlavně pro přístup na síťové složky. Ale jinak taky nejsem pro skrývání SSH do VPN.
odpočívat někde venku...
3.11.2013 10:44 hermelin | skóre: 22
Rozbalit Rozbalit vše Re: odříznutí záškodníka
No to je opravdu nazor "mistra" :-)!. Ano mame na linuxu moznost pristupu ssh ale je demence toho z venku vyuzivat. Tohle muze napsat jenom hlupak !!!

Ano otevrene SSH je ucite riziko jako jakakoliv jina sluzba pristupna z internetu. Proto je dulezite umet sluzby spravne nakonfigurovat, spravovat a udrzovat.

mezi nejdulezitejsi patri:

- povolit ssh pouze uzivatelum ktere jej potrebuji

- pouzivat pro prihlasovani dostatecne silne sifrovane klice (nikoliv hesla)

- v iptables napr. pouzivat recent pripadne GEOIP (z ciny se asi opravdu nebudete hlasit pres ssh) pripadne pouzit fail2ban

- aktualizovat pokud je objeven bezpecnostni problem

- pripadne pouzivat hosts.allow/hosts.allow

- pripadne pouzit jiny port nez 22

- kontrolovat logy na ssh pristupy
3.11.2013 11:59 NN
Rozbalit Rozbalit vše Re: odříznutí záškodníka
SSH z venku, to je jak RDP z venku, casem to proste zacne nekdo lamat, taky proc ne.. Btw. s tema klicema to taky tak slavne nebylo viz https://factorable.net/paper.html. Port 2222, geoip, fail2ban etc. proste zbytecnost. To je VPN fakt problem? Ma zaheslovany silny klic a konec. Jeste jsem se nesetkal, ze by nekdo lamal VPN, nehlede na to ze krz ni tece za se SSH takze dvoji prace a strata casu.. Takze nazor nemenim ;).
3.11.2013 12:06 DarkKnight | skóre: 24
Rozbalit Rozbalit vše Re: odříznutí záškodníka
takze vpn pres klic je bezpecnejsi nez ssh pres klic?
3.11.2013 12:32 hermelin | skóre: 22
Rozbalit Rozbalit vše Re: odříznutí záškodníka
"Port 2222, geoip, fail2ban" - proste zbytecnost ?! Nejakej opravnenej argument ?

Ano kvuli SSH ktere lze pouzivat s certifikatama stejne jako VPN si nejprve nainstaluju VPN a pak tak budu chodit na SSH. To je fakt hlavou ! :-). Diky tomu nam na serveru pribude dalsi SW ktery muze mit potencionalne bezpecnostni chybu.

A az budou boty napadat VPN koncetrator tak zrusime VPN a budeme chodit do serverovny na konzoli ! :-))))))))

Neni nad "odborne" reseni problemu - protoze blokace a predchazeni utokum je fakt zbytecnost ! :-)
3.11.2013 15:31 NN
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Vzdyt to nedava smysl. Vystrcis na protivnika holy zadek a budes na nej lepit kalhoty? Kravina. VPN je daleko bezpecnejsi pri pouziti silneho sifrovani, zarucuje vyceurovnovou ochranu a navic centralni pristup. Nebavime se o domacim serveru, ale o sprave desitek zarizeni najednou.
4.11.2013 09:59 Milan Uhrák | skóre: 25 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: odříznutí záškodníka
fuckt odborník, twl ..
4.11.2013 10:38 Kit
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Pavel psal o jednom serveru, o správě desítek zařízení najednou se tedy nebavíme.
4.11.2013 11:14 NN
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Rozumim.
4.11.2013 13:49 SSH datel
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Vase presvedceni, ze VPN je bezpecnejsi nez SSH, jste ziskal na kurzech pleteni nebo z TV NOVA?
4.11.2013 20:21 Sten
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Aha, VPN s RSA klíčema (jako třeba OpenVPN) je bezpečnější než SSH s RSA klíčema. To jsou věci :-)
4.11.2013 19:41 mikky | skóre: 25 | blog: Ghlog | M. L. - Praha
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Zrovna s tou čínou bych si na to dával pozor. Neni nad to, když si na dovolený v Hong Kongu a přijde ti smska, že se podělal webserver a ty máš filtr na geoip :) nemít tenkrát bokem server na hraní, měl bych problém :)
Je vám méně než 30 ? (jsme vrstevnící => budeme si tykat) : (jsem pro vás bažant => můžete mi tykat);
3.11.2013 12:33 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Jestli k tomu serveru pristupujes jenom ty, tak si nahod portknock.
Fail2ban je dobry, ale utoky se dnes distribuuji z botnetu a vyssi porty ti oscanuji.
4.11.2013 10:12 Milan Uhrák | skóre: 25 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: odříznutí záškodníka
hm .. portknock vypada opravdu dobře ..

osobně používám fail2ban, poslední modifikace jsou síce čim dál komplikovanější a dokáží rozpoznat útoky nejen na ssh, ale princip je jednoduchý a spolehlivý. Jednou za čas se podívám na logy fail2ban, a přes ripe nebo arin kouknu, odkud vítr fouká, a většinou do blacklistu shorewalu hodím rovnou celý rozsah, hlavně s Asii se nepářu, ale obecně jiné kontinenty banuju v /8 rozsahu.
4.11.2013 10:47 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Nerozumím trochu, proč je kolem blokování IP rozsahů takový cirkus. Když mám přístup na ssh jen přes klíče a ty jsou dostatečně silné, tak se tam útočník nedostane. Pár paketů navíc linka ani nepozná a nikdy jsem neměl na ssh útok takový, že by kolaboval systém. Obvykle počet pokusů o vstup je tak stovky za hodinu. Pokud se trochu pohybuji po světě, tak nikdy netuším, jaké IP rozsahy jsou v tom kterém hotelu, letišti nebo hospodě. Někam přijet a zjistit, že se k sobě nedostanu, protože jsem si chytře sám sobě blokl rozsah, by mě celkem naštvalo.
4.11.2013 11:15 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: odříznutí záškodníka

Blokování IP rozsahů i jednotlivých IP adres je v podstatě nesmysl, protože to nefunguje korektně pro IPv6.

Těžko si lze dnes představit server, který nemá IPv6, pokud ho ovšem neprovozuje dědeček pro účely nostalgie, že ano... Jenže s IPv6 většina způsobů blokování IP adres známých z IPv4 selhává. Zaprvé, ne každá banovací utilita rozumně podporuje IPv6. Zadruhé, u IPv6 se nebavíme o blokování jedné adresy, protože každý útočník si může vygenerovat tolik adres, že se nevejdou do žádné blokovací tabulky ani na disk. Znamená to tedy, že by se v případě IPv6 měly blokovat celé rozsahy? To rovněž není rozumně proveditelné, protože se nedá úplně snadno a rychle zjistit, zda daný útočník má /32, /48, /64 nebo jiný rozsah, a protože v daném rozsahu může být potenciálně spousta dalších počítačů, které do botnetu nepatří a které nechceme odříznout všechny najednou.

Blokování adres má obecně ještě jeden zásadní problém: Proč by někdo věřil IP adresám? IP adresu může podvrhnout kdokoliv, kdo má přístup na některý (z hlediska daného serveru) důležitý router. (Nejbližší router u poskytovatele bude samozřejmě „nejrizikovější“ pro počítače k němu připojené.) IP adresa nepodléhá žádné autentifikaci. Tedy filtrování a blokování na základě IP adres sice může některým útočníkům trochu ztížit práci, ale obecně vzato je neúčinné.

Kryptografická autentifikace (SSH a spousta typů VPN) problém nedůvěryhodnosti IP adres řeší a je to zatím v podstatě jediné řešení tohoto problému, které existuje. (Může ovšem přestat existovat, pokud NSA příliš pokročí s experimenty na kvantových strojích.) Umím si představit případy, ve kterých by filtrování na základě IP adres mohlo částečně pomoct proti některým DDOS útokům, ale SSH mezi ně nepatří.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
4.11.2013 12:30 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: odříznutí záškodníka

Spousta serverů má jen IPv4, zvláště proto, že mají konektivitu jen přes IPv4.

Blokování adres není o důvěře, ale o eliminaci.

Pokud nebudu DROP-ovat neúspěšné požadavky na SSH dle IP, tak mi to sebere až půlku trubky (např. na ADSL 3500/256), protože botnety to považují za potencionálně dostupné. A stále nevím jak to bude, až v těchto případech, tam ta konektivita IPv6 bude…

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
4.11.2013 12:31 GeorgeWH | skóre: 35
Rozbalit Rozbalit vše Re: odříznutí záškodníka
aha, takze nebudeme blokovat ipv4 adresy/rozsahy, pretoze to nefunguje s ipv6... a kolko ze to ludi ma dnes ipv6...?
4.11.2013 13:32 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: odříznutí záškodníka

IPv6 má mimo jiné každý, kdo má aspoň jednu veřejnou IPv4 adresu. Nevím, kolik lidí celkově má IPv6, a nezajímá mě to. Jde přinejmenším o všechny uživatele ADSL i kabelových připojení. (Kolik lidí IPv6 skutečně používá, to je samozřejmě zcela jiná otázka. Odpověď mě rovněž nikdy nezajímala.)

Adresy a rozsahy IPv4 nebudeme blokovat v případech, kdy to nemá smysl. V případě SSH to nemá smysl. Jinak je tomu v případě protokolů, kde i neplatné požadavky můžou znamenat velmi netriviální zatížení sítě i výpočetní kapacity, tedy například u webových serverů. Nicméně o těch tu nebyla řeč.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
4.11.2013 14:22 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: odříznutí záškodníka
WTF?
IPv6 adresa != IPv6 konektivita.
4.11.2013 16:15 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: odříznutí záškodníka

Na co přesně reaguješ? Nebo je to jen drobný problém s porozuměním psanému textu? Tvrdil jsem toto:

veřejná IPv4 adresa == IPv6 konektivita

Samozřejmě záleží na uživateli, jestli svou IPv6 konektivitu využije. Podobně někdo může mít třeba IPv4 konektivitu a nepoužívat ji. (Protože si náležitě nenastaví síťové rozhraní nebo nepřipojí žádné zařízení.)

O samotné IPv6 adrese (bez příslušné konektivity) jsem tady žádné obecné tvrzení nepsal.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
4.11.2013 16:20 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: odříznutí záškodníka

No, ať nežeru, když už slovíčkaříme, takhle by to mělo být:

IPv4 konektivita s veřejnou IPv4 adresou => IPv6 konektivita

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
4.11.2013 19:13 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: odříznutí záškodníka
No a to je prave ten bullshit.
4.11.2013 19:14 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Muze mit tunel != ma konektivitu.
4.11.2013 11:31 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: odříznutí záškodníka
A proc mu asi radim portknock?
4.11.2013 19:53 GAZDOWN | skóre: 7
Rozbalit Rozbalit vše Re: odříznutí záškodníka
Do budoucna by takovýmto problémům měl pomoci předcházet sshguard a jemu podobný sw.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.