abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 1
dnes 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 0
dnes 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 6
včera 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 1
včera 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 4
včera 22:04 | Pozvánky

Rádi bychom vás pozvali na přednášku o frameworku Avocado. Jedná se o testovací framework další generace, inspirovaný Autotestem a moderními vývojovými nástroji, jako je třeba git. Přednáška se bude konat 23. října od 17 hodin na FEL ČVUT (Karlovo náměstí, budova E, auditorium K9 – KN:E 301). Více informací na Facebooku.

… více »
mjedlick | Komentářů: 0
včera 21:44 | Bezpečnostní upozornění

Nový útok na WPA2 se nazývá KRACK a postihuje prakticky všechna Wi-Fi zařízení / operační systémy. Využívá manipulace s úvodním handshake. Chyba by měla být softwarově opravitelná, je nutné nainstalovat záplaty operačních systémů a aktualizovat firmware zařízení (až budou). Mezitím je doporučeno používat HTTPS a VPN jako další stupeň ochrany.

Václav HFechs Švirga | Komentářů: 3
15.10. 00:11 | Zajímavý projekt

Server Hackaday představuje projekt RainMan 2.0, aneb jak naučit Raspberry Pi 3 s kamerovým modulem pomocí Pythonu a knihovny pro rozpoznávání obrazu OpenCV hrát karetní hru Blackjack. Ukázka rozpoznávání karet na YouTube. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0
14.10. 15:11 | IT novinky

Online obchod s počítačovými hrami a elektronickými knihami Humble Bundle byl koupen společností IGN. Dle oficiálních prohlášení by měl Humble Bundle dále fungovat stejně jako dosud.

Ladislav Hagara | Komentářů: 8
14.10. 06:00 | Zajímavý článek

Brendan Gregg již v roce 2008 upozornil (YouTube), že na pevné disky se nemá křičet, že jim to nedělá dobře. Plotny disku se mohou rozkmitat a tím se mohou prodloužit časy odezvy pevného disku. V září letošního roku proběhla v Buenos Aires konference věnovaná počítačové bezpečnosti ekoparty. Alfredo Ortega zde demonstroval (YouTube, pdf), že díky tomu lze pevný disk použít také jako nekvalitní mikrofon. Stačí přesně měřit časy odezvy

… více »
Ladislav Hagara | Komentářů: 8
Těžíte nějakou kryptoměnu?
 (6%)
 (2%)
 (15%)
 (76%)
Celkem 719 hlasů
 Komentářů: 24, poslední 27.9. 08:30
    Rozcestník

    Dotaz: odříznutí záškodníka

    1.11.2013 21:05 Pavel
    odříznutí záškodníka
    Přečteno: 1243×
    Ahoj, na ssh se mi snaží připojit nějaký robot, který neustále zkouší uživatelský jména. Má ale smůlu, protože mám klíče. Ale štve mě.. jak ho mám odříznout, aby se mě na ssh vůbec nedostal? Díky
    Received disconnect from 222.33.62.178: 11: Bye Bye [preauth]

    Řešení dotazu:


    Odpovědi

    Řešení 2× (camel1cz, Tomáš Bžatek)
    1.11.2013 21:11 Milan Beneš | skóre: 17 | blog: Kraft_durch_Freude
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    fail2ban
    Řešení 1× (mhepp)
    vladky avatar 1.11.2013 21:17 vladky | skóre: 18
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Ahoj
    Do suboru /etc/hosts.deny pridaj riadok:

    sshd: 222.33.62.178
    1.11.2013 21:46 Pavel
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    super! diky. Omlouvam se za zacatecnicky dotaz:)
    3.11.2013 03:40 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Tohle ovšem funguje pouze v distrech, která používají tcp-wrappers.
    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Řešení 1× (MMMMMMMMM)
    3.11.2013 03:43 loki
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    iptables -t filter -A INPUT -s 222.33.62.178 -p tcp --dport 22 -j DROP
    3.11.2013 08:30 Tomas
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    zvysit port SSH? robot testuje jen 22, pokud ho das nekam vyse a nkedo to bud zkouset dal je to uz cileny utok
    3.11.2013 08:49 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Předělávat zavedenou službu kvůli jednomu hloupému záškodníkovi? Vždyť ani nevíš, kolik dalších služeb bys tomu adminovi rozboural.
    3.11.2013 10:11 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    SSH z venku je proste demence..
    3.11.2013 10:16 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Jak jinak se chceš zvenku dostat než přes SSH?
    3.11.2013 11:40 2012 | skóre: 15 | blog: co_me_dneska_napadlo
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    udelat vpn a povolit ssh jen pres vpn?
    3.11.2013 11:51 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    VPN je bezpečnější než SSH?
    4.11.2013 15:15 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No, pokud do VPN zahrneme PPTP, tak (zatím) je prokazatelně bezpečnější SSH ;-).
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    4.11.2013 15:42 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Ze jsem nedrzel hubu ;). Nema ted v defaultu PPTP fallback na SSTP?
    4.11.2013 16:02 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Nevím v jakém defaultu, možná v nějakém jo, ale PPTP lze spustit na black/white box krabičkách na jedno kliknutí a taková VPN je prokazatelně méně bezpečná než SSH. Jinak nevidím rozdíl v bezpečnosti mezi vpn nebo ssh tunelem obecně.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    4.11.2013 12:58 pocitujlasku | skóre: 15
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Uz vidim, ako si na smartfone instalujes VPN. Nie vzdy nosim so sebou aj notas a tak mam ssh klienta v mobile. V pripade zavaznych problemov sa viem kedykolvek a odkialkolvek pripojit a skontrolovat stav. Je to vec na nezaplatenie

    4.11.2013 13:16 jandanielcz | skóre: 6 | blog: druhá kolej
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No já na mobilu VPN měl, hlavně pro přístup na síťové složky. Ale jinak taky nejsem pro skrývání SSH do VPN.
    odpočívat někde venku...
    3.11.2013 10:44 hermelin | skóre: 22
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No to je opravdu nazor "mistra" :-)!. Ano mame na linuxu moznost pristupu ssh ale je demence toho z venku vyuzivat. Tohle muze napsat jenom hlupak !!!

    Ano otevrene SSH je ucite riziko jako jakakoliv jina sluzba pristupna z internetu. Proto je dulezite umet sluzby spravne nakonfigurovat, spravovat a udrzovat.

    mezi nejdulezitejsi patri:

    - povolit ssh pouze uzivatelum ktere jej potrebuji

    - pouzivat pro prihlasovani dostatecne silne sifrovane klice (nikoliv hesla)

    - v iptables napr. pouzivat recent pripadne GEOIP (z ciny se asi opravdu nebudete hlasit pres ssh) pripadne pouzit fail2ban

    - aktualizovat pokud je objeven bezpecnostni problem

    - pripadne pouzivat hosts.allow/hosts.allow

    - pripadne pouzit jiny port nez 22

    - kontrolovat logy na ssh pristupy
    3.11.2013 11:59 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    SSH z venku, to je jak RDP z venku, casem to proste zacne nekdo lamat, taky proc ne.. Btw. s tema klicema to taky tak slavne nebylo viz https://factorable.net/paper.html. Port 2222, geoip, fail2ban etc. proste zbytecnost. To je VPN fakt problem? Ma zaheslovany silny klic a konec. Jeste jsem se nesetkal, ze by nekdo lamal VPN, nehlede na to ze krz ni tece za se SSH takze dvoji prace a strata casu.. Takze nazor nemenim ;).
    3.11.2013 12:06 DarkKnight | skóre: 25
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    takze vpn pres klic je bezpecnejsi nez ssh pres klic?
    3.11.2013 12:32 hermelin | skóre: 22
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    "Port 2222, geoip, fail2ban" - proste zbytecnost ?! Nejakej opravnenej argument ?

    Ano kvuli SSH ktere lze pouzivat s certifikatama stejne jako VPN si nejprve nainstaluju VPN a pak tak budu chodit na SSH. To je fakt hlavou ! :-). Diky tomu nam na serveru pribude dalsi SW ktery muze mit potencionalne bezpecnostni chybu.

    A az budou boty napadat VPN koncetrator tak zrusime VPN a budeme chodit do serverovny na konzoli ! :-))))))))

    Neni nad "odborne" reseni problemu - protoze blokace a predchazeni utokum je fakt zbytecnost ! :-)
    3.11.2013 15:31 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Vzdyt to nedava smysl. Vystrcis na protivnika holy zadek a budes na nej lepit kalhoty? Kravina. VPN je daleko bezpecnejsi pri pouziti silneho sifrovani, zarucuje vyceurovnovou ochranu a navic centralni pristup. Nebavime se o domacim serveru, ale o sprave desitek zarizeni najednou.
    4.11.2013 09:59 Milan Uhrák | skóre: 26 | blog: milan_at_ABC
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    fuckt odborník, twl ..
    4.11.2013 10:38 Kit
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Pavel psal o jednom serveru, o správě desítek zařízení najednou se tedy nebavíme.
    4.11.2013 11:14 NN
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Rozumim.
    4.11.2013 13:49 SSH datel
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Vase presvedceni, ze VPN je bezpecnejsi nez SSH, jste ziskal na kurzech pleteni nebo z TV NOVA?
    4.11.2013 20:21 Sten
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Aha, VPN s RSA klíčema (jako třeba OpenVPN) je bezpečnější než SSH s RSA klíčema. To jsou věci :-)
    4.11.2013 19:41 mikky | skóre: 25 | blog: Ghlog | M. L. - Praha
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Zrovna s tou čínou bych si na to dával pozor. Neni nad to, když si na dovolený v Hong Kongu a přijde ti smska, že se podělal webserver a ty máš filtr na geoip :) nemít tenkrát bokem server na hraní, měl bych problém :)
    Je vám méně než 30 ? (jsme vrstevnící => budeme si tykat) : (jsem pro vás bažant => můžete mi tykat);
    3.11.2013 12:33 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Jestli k tomu serveru pristupujes jenom ty, tak si nahod portknock.
    Fail2ban je dobry, ale utoky se dnes distribuuji z botnetu a vyssi porty ti oscanuji.
    4.11.2013 10:12 Milan Uhrák | skóre: 26 | blog: milan_at_ABC
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    hm .. portknock vypada opravdu dobře ..

    osobně používám fail2ban, poslední modifikace jsou síce čim dál komplikovanější a dokáží rozpoznat útoky nejen na ssh, ale princip je jednoduchý a spolehlivý. Jednou za čas se podívám na logy fail2ban, a přes ripe nebo arin kouknu, odkud vítr fouká, a většinou do blacklistu shorewalu hodím rovnou celý rozsah, hlavně s Asii se nepářu, ale obecně jiné kontinenty banuju v /8 rozsahu.
    4.11.2013 10:47 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Nerozumím trochu, proč je kolem blokování IP rozsahů takový cirkus. Když mám přístup na ssh jen přes klíče a ty jsou dostatečně silné, tak se tam útočník nedostane. Pár paketů navíc linka ani nepozná a nikdy jsem neměl na ssh útok takový, že by kolaboval systém. Obvykle počet pokusů o vstup je tak stovky za hodinu. Pokud se trochu pohybuji po světě, tak nikdy netuším, jaké IP rozsahy jsou v tom kterém hotelu, letišti nebo hospodě. Někam přijet a zjistit, že se k sobě nedostanu, protože jsem si chytře sám sobě blokl rozsah, by mě celkem naštvalo.
    4.11.2013 11:15 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Blokování IP rozsahů i jednotlivých IP adres je v podstatě nesmysl, protože to nefunguje korektně pro IPv6.

    Těžko si lze dnes představit server, který nemá IPv6, pokud ho ovšem neprovozuje dědeček pro účely nostalgie, že ano... Jenže s IPv6 většina způsobů blokování IP adres známých z IPv4 selhává. Zaprvé, ne každá banovací utilita rozumně podporuje IPv6. Zadruhé, u IPv6 se nebavíme o blokování jedné adresy, protože každý útočník si může vygenerovat tolik adres, že se nevejdou do žádné blokovací tabulky ani na disk. Znamená to tedy, že by se v případě IPv6 měly blokovat celé rozsahy? To rovněž není rozumně proveditelné, protože se nedá úplně snadno a rychle zjistit, zda daný útočník má /32, /48, /64 nebo jiný rozsah, a protože v daném rozsahu může být potenciálně spousta dalších počítačů, které do botnetu nepatří a které nechceme odříznout všechny najednou.

    Blokování adres má obecně ještě jeden zásadní problém: Proč by někdo věřil IP adresám? IP adresu může podvrhnout kdokoliv, kdo má přístup na některý (z hlediska daného serveru) důležitý router. (Nejbližší router u poskytovatele bude samozřejmě „nejrizikovější“ pro počítače k němu připojené.) IP adresa nepodléhá žádné autentifikaci. Tedy filtrování a blokování na základě IP adres sice může některým útočníkům trochu ztížit práci, ale obecně vzato je neúčinné.

    Kryptografická autentifikace (SSH a spousta typů VPN) problém nedůvěryhodnosti IP adres řeší a je to zatím v podstatě jediné řešení tohoto problému, které existuje. (Může ovšem přestat existovat, pokud NSA příliš pokročí s experimenty na kvantových strojích.) Umím si představit případy, ve kterých by filtrování na základě IP adres mohlo částečně pomoct proti některým DDOS útokům, ale SSH mezi ně nepatří.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 12:30 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Spousta serverů má jen IPv4, zvláště proto, že mají konektivitu jen přes IPv4.

    Blokování adres není o důvěře, ale o eliminaci.

    Pokud nebudu DROP-ovat neúspěšné požadavky na SSH dle IP, tak mi to sebere až půlku trubky (např. na ADSL 3500/256), protože botnety to považují za potencionálně dostupné. A stále nevím jak to bude, až v těchto případech, tam ta konektivita IPv6 bude…

    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    4.11.2013 12:31 GeorgeWH | skóre: 36
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    aha, takze nebudeme blokovat ipv4 adresy/rozsahy, pretoze to nefunguje s ipv6... a kolko ze to ludi ma dnes ipv6...?
    4.11.2013 13:32 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    IPv6 má mimo jiné každý, kdo má aspoň jednu veřejnou IPv4 adresu. Nevím, kolik lidí celkově má IPv6, a nezajímá mě to. Jde přinejmenším o všechny uživatele ADSL i kabelových připojení. (Kolik lidí IPv6 skutečně používá, to je samozřejmě zcela jiná otázka. Odpověď mě rovněž nikdy nezajímala.)

    Adresy a rozsahy IPv4 nebudeme blokovat v případech, kdy to nemá smysl. V případě SSH to nemá smysl. Jinak je tomu v případě protokolů, kde i neplatné požadavky můžou znamenat velmi netriviální zatížení sítě i výpočetní kapacity, tedy například u webových serverů. Nicméně o těch tu nebyla řeč.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 14:22 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    WTF?
    IPv6 adresa != IPv6 konektivita.
    4.11.2013 16:15 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    Na co přesně reaguješ? Nebo je to jen drobný problém s porozuměním psanému textu? Tvrdil jsem toto:

    veřejná IPv4 adresa == IPv6 konektivita

    Samozřejmě záleží na uživateli, jestli svou IPv6 konektivitu využije. Podobně někdo může mít třeba IPv4 konektivitu a nepoužívat ji. (Protože si náležitě nenastaví síťové rozhraní nebo nepřipojí žádné zařízení.)

    O samotné IPv6 adrese (bez příslušné konektivity) jsem tady žádné obecné tvrzení nepsal.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 16:20 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: odříznutí záškodníka

    No, ať nežeru, když už slovíčkaříme, takhle by to mělo být:

    IPv4 konektivita s veřejnou IPv4 adresou => IPv6 konektivita

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.11.2013 19:13 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    No a to je prave ten bullshit.
    4.11.2013 19:14 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Muze mit tunel != ma konektivitu.
    4.11.2013 11:31 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    A proc mu asi radim portknock?
    4.11.2013 19:53 GAZDOWN | skóre: 7
    Rozbalit Rozbalit vše Re: odříznutí záškodníka
    Do budoucna by takovýmto problémům měl pomoci předcházet sshguard a jemu podobný sw.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.