abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 14:44 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 151. brněnský sraz, který proběhne v pátek 20. 4. od 18:00 hodin v restauraci Benjamin na Drobného 46.

Ladislav Hagara | Komentářů: 0
včera 13:33 | Nová verze

Byla vydána verze 18.04.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi.

Ladislav Hagara | Komentářů: 0
včera 13:11 | Nová verze

Bylo oznámeno vydání nové stabilní verze 1.26 a beta verze 1.27 open source textového editoru Atom (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 12:55 | Komunita

Dle plánu byla dnes vydána hra Rise of the Tomb Raider (Wikipedie) pro Linux. Koupit ji lze za 49,99 €.

Ladislav Hagara | Komentářů: 0
včera 09:55 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno bylo celkově 254 bezpečnostních chyb. V Oracle Java SE je například opraveno 14 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 12 z nich. V Oracle MySQL je opraveno 33 bezpečnostních chyb. Vzdáleně zneužitelné bez autentizace jsou 2 z nich.

Ladislav Hagara | Komentářů: 3
18.4. 23:11 | Nová verze

Byla vydána verze 8.0 linuxové distribuce Trisquel GNU/Linux. Nejnovější verze Trisquel nese kódové jméno Flidas a bude podporována do roku 2021. Výchozím prostředím je nově MATE 1.12. Trisquel patří mezi svobodné distribuce doporučované Nadací pro svobodný software (FSF).

Ladislav Hagara | Komentářů: 0
18.4. 16:00 | Nová verze

Byla vydána nová verze 27.9.0 webového prohlížeče Pale Moon (Wikipedie) vycházejícího z Firefoxu. Přehled novinek v poznámkách k vydání. Jedná se o poslední větší aktualizaci verze 27. Vývojáři se zaměří na novou verzi 28.

Ladislav Hagara | Komentářů: 0
18.4. 12:00 | Nová verze

Google Chrome 66 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 66.0.3359.117 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 62 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
18.4. 06:00 | Nová verze

Byla vydána druhá RC verze nové řady 2.10 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP. Přehled novinek i s náhledy v oznámení o vydání.

Ladislav Hagara | Komentářů: 0
17.4. 23:39 | Pozvánky

Již tento čtvrtek (19. 4.) se v posluchárně 107 na Fakultě informačních technologií ČVUT v Praze Dejvicích odehraje večer s Turrisem, tentokrát zaměřený na nový modulární router MOX. Mluvit o něm budou Patrick Zandl a Ondřej Filip, ale bude i prostor pro dotazy a diskuzi s vývojáři. Akce začíná v 18:00 a plánovaný konec je v 19:45. Mapka, kde se nachází daná posluchárna, a možnost registrace je k dispozici na webu CZ.NIC.

Miška | Komentářů: 0
Používáte na serverech port knocking?
 (2%)
 (7%)
 (47%)
 (27%)
 (16%)
Celkem 323 hlasů
 Komentářů: 29, poslední 5.4. 12:25
    Rozcestník

    Používáte na serverech port knocking?

    všude
    2% (8)
    výjimečně
    7% (24)
    nikde
    47% (153)
    o co jde?
    27% (86)
    nemám žádný server
    16% (52)

    Celkem 323 hlasů
    Vytvořeno: 19.3.2018 10:37

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    19.3. 18:06 Harvie.CZ | skóre: 3
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Port knocking vnimam spis jako security by obscurity hracku, kterou lze defakto definovat jako nesifrovany posilani pravdepodobne slabejch hesel.
    http://wiki.spoje.net/
    20.3. 07:43 random
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Já ho vnímám jako metodu čištění logů. Zejména u SSH je otravné prohrabávat se tisíci pokusů o přihlášení denně a filtrování logů přináší riziko, že administrátorovi proklouzne skutečně vážný pokus o útok. Ale nepoužívám ho, SSH mám na jiném portu a docela to stačí, logy se neplní nijak rychle.
    20.3. 08:12 dfgsdfgdfg
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Ono se dost hodi, aby pripadny utocnik (coz je v 99 % pripadu bot) nevedel, ze nejaka sluzba je vubec dostupna, protoze v takove chvili na ni ani nemuze utocit. Port knocking prokazatelne snizuje mnozstvi utoku na danou sluzbu. Nasazeni nebo nenasazeni ale pochopitelne zalezi na tvym threat modelu.
    otasomil avatar 20.3. 18:26 otasomil | skóre: 36 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Zdravim
    Nepouzivam. A ochranu v podobe umisteni SSHD na vysokem portu (nekde v desitkach tisic) + zakazany root login + povoleni pristupu pouze z konkretnich IP (pomoci hosts.allow, hosts.deny) lze povazovat za naprosto dostatecne zabezpeceni.
    MJ vedeli jste ze obecnou vlastnosti mobilnich siti je porad jedina IP a to i pri pohybu po republice a dokonce i v roamingu. Vzdy se to nejak tuneluje do jedinyho mista. Resili to tady. Muj vyzkum na honeypotu ohledne zmeny SSHD portu dopadl nasledovne
    K čemu hudba, která nevede k extázi... Stop MDMA !!! Už je to víc jak 50 let: http://buxlrerulbak7g3e.onion/
    23.3. 22:58 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    [port knocking] Nepouzivam

    …a to je v tom odstavci jediné, na čem se shodneme. :-)

    Luboš Doležel (Doli) avatar 23.3. 23:39 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    MJ vedeli jste ze obecnou vlastnosti mobilnich siti je porad jedina IP a to i pri pohybu po republice a dokonce i v roamingu.
    Obecnou vlastností to rozhodně není, protože pár let nazpátek dostávaly mobily v síti T-Mobile veřejné IPv4 adresy. Opravdu. Natolik mě to tehdy překvapilo, že jsem hned psal kamarádovi, aby se podíval, a taky dostal veřejnou IP. Když jsem SIM strčil do USB modemu (+pppd na Linuxu), tak jsem se mohl na danou IP připojit.

    Druhou věcí je, že v roamingu v některých sítích dostávám lokální IP, nikoliv českou. Děje se mi to například v Rakousku. Má to výhody i nevýhody. Výhodou místní IP je lepší latence, česká IP se mi zase hodila v roamingu v Číně, kdy mi pak na mobilu aspoň chodily Google Maps (v Číně běžně blokované).
    otasomil avatar 24.3. 12:25 otasomil | skóre: 36 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    protože pár let nazpátek...
    To je presne ono. To byvalo. Dokonce znam cloveka ktery na tomto postavil jakesi zarizeni pro ovladani dalsich veci. Bohuzel toto dlouho nevydrzelo. Za cas dostavaly jeho chytre strojky ledabyle jinou IP az byl donucen doprogramovat funkci ktera na zaklade poslane sms ve spravnem tvaru odpovedela opet sms s IP adresou. Tuto uzivatel dal do prohlizece a s velkou slavou se pripojil k ovladani. To je ale jiz mnoho let. Byly to pocatky dat v mobilnich sitich. A dnes... za jedinou IPv4 je schovano klidne tisice uzivatelu.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! Už je to víc jak 50 let: http://buxlrerulbak7g3e.onion/
    Luboš Doležel (Doli) avatar 23.3. 23:40 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    A ochranu v podobe umisteni SSHD na vysokem portu (nekde v desitkach tisic) + zakazany root login + povoleni pristupu pouze z konkretnich IP (pomoci hosts.allow, hosts.deny) lze povazovat za naprosto dostatecne zabezpeceni.
    Vida, já za dostatečné zabezpečení považuju zakáz přihlašování heslem :-)
    otasomil avatar 24.3. 12:59 otasomil | skóre: 36 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Vida, já za dostatečné zabezpečení považuju zakáz přihlašování heslem
    Taky OK. Jen nepomaha pred roboty kteri nadale bubnuji na vychozi port. Mnou uvedene opatreni pouzivam jiz nekolik let a v logach na VPS nemam jinou IP nez svoji. Cili co chtit vic...
    K čemu hudba, která nevede k extázi... Stop MDMA !!! Už je to víc jak 50 let: http://buxlrerulbak7g3e.onion/
    24.3. 13:06 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Jen nepomaha pred roboty kteri nadale bubnuji na vychozi port.

    V jakém smyslu nepomáhá? Jako že se do toho klíče časem trefí (pokud by to tedy vůbec zkoušeli)?

    Jendа avatar 24.3. 13:17 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Na pomalém HW (typu MIPS 24Kc nebo ARMv4) nebo pomalé lince takový slovníkový útok může sežrat nezanedbatelný podíl systémových prostředků.
    Cestovat na exkurzi z Ochrany ovzduší se bude autem, na naftovném se domluvíme s vrchním dovozcem.
    24.3. 17:11 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Nebylo by v takovém případě praktičtější řešení použít pro daný účel aspoň trochu smysluplnější hardware?
    24.3. 18:01 Kate | skóre: 8
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Tak jako, třeba na meteostaničku nebo fotopast někde v lese může použít třeba intel NUC, ale proč dimenzovat HW čistě jen na SSH DDOS, když stačí značně odlehčit provoz přesunem na jiný port? Pochopitelně, v kombinaci s přihlašováním klíčem.
    24.3. 21:09 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    1. Kolega v tom odkazovaném blogu píše, že se jedná o desítky pokusů za den, to není zase tak moc. Když to bude někdo chtít opravdu uDoSovat, uDoSuje mu i ten NUC. 2. Mimo jiné se zmiňuje, že tak jako tak povoluje přístup k SSH jen z definovaného whitelistu adres. Proč se tedy vůbec bavíme o náhodných návštěvách robotů louskajících hesla? Pokud by navíc dal na rady a místo neefektivních tcpwrappers to řešil netfilterem, bude to bezpředmětné úplně. 3. A konečně meteostanička nebo fotopast v lese s permanentní konektivitou a veřejnou adresou. Pokud tam opravdu dá ARMv4, tak cokoli, co mu bude tu konektivitu zajišťovat, bude mít řádově větší výkon i příkon, takže moc nevidím důvod, proč trvat na takovém řešení.
    otasomil avatar 24.3. 21:48 otasomil | skóre: 36 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Toz pres iptables neco ve smyslu pro povoleni jedine IP 100.100.100.100 ?
    iptables -A INPUT -p tcp --dport 28912 -s 100.100.100.100 -j ACCEPT
    iptables -A INPUT -p tcp --dport 28912 -j DROP
    
    Jo tak tcpwrapper a /etc/hosts.allow, /etc/hosts.deny je uz zastarala vec ale setkavam se s nim v distrech porad. Asi to bude neco jako /etc/hosts ktery je taky s nami stale a lze jej vyuzit porad.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! Už je to víc jak 50 let: http://buxlrerulbak7g3e.onion/
    Jendа avatar 24.3. 22:05 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    FYI porty >1024 umožňují dělat MITM neprivilegovaným uživatelům pokud se jim podaří nabindovat dřív/když spadne sshd. Jako ne že by to byl nějaký běžně proveditelný útok, ale hodí se to vědět.
    Cestovat na exkurzi z Ochrany ovzduší se bude autem, na naftovném se domluvíme s vrchním dovozcem.
    25.3. 00:06 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Toz pres iptables neco ve smyslu pro povoleni jedine IP 100.100.100.100?

    Tak nějak, jen bych to asi dal do samostatného chainu, aby se protokol a port nemusely testovat pokaždé znovu:

      iptables -N ssh
      iptables -A INPUT -p tcp --dport 22 -j ssh
      iptables -A ssh -s 1.1.1.1 -j ACCEPT
      iptables -A ssh -s 1.1.1.2 -j ACCEPT
      ...
      iptables -A ssh -j DROP
    

    nebo (hlavně při větším počtu adres) rovnou použít ipset:

      ipset create ssh-whitelist hash:ip
      iptables -A INPUT -p tcp --dport 22 -m set --match-set ssh-whitelist src -j ACCEPT
      iptables -A INPUT -p tcp --dport 22 -j DROP
      ipset add ssh-whitelist 1.1.1.1
      ipset add ssh-whitelist 1.1.1.2
      ...
    
    Jo tak tcpwrapper a /etc/hosts.allow, /etc/hosts.deny je uz zastarala vec ale setkavam se s nim v distrech porad.

    Že je to zastaralé, to by ani tak nevadilo, ale hlavně je to implementované moc vysoko a dostane se to ke slovu až docela pozdě, když už je spojení navázané. Netfilter vám zahodí rovnou syn packet, a to hned v jádře. Je to rychlejší a necháváte méně prostoru pro nějakou zneužitelnou chybu.

    Jendа avatar 24.3. 22:03 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Nebylo by v takovém případě praktičtější řešení použít pro daný účel aspoň trochu smysluplnější hardware?
    Dušný MIPS obsahuje naprostá většina routerů do litru. To si mám kupovat dvakrát dražší zařízení jenom abych si ušetřil -p 933 nebo jeden řádek v konfiguráku?
    1. Kolega v tom odkazovaném blogu píše, že se jedná o desítky pokusů za den
    Zajímavé, já jich mám tisíce denně, což vzhledem k tomu, že třeba tom MIPS SoC sežere jedno SSH spojení 1 (74Kc) - 2 (24Kc) sekundy CPU…
    Když to bude někdo chtít opravdu uDoSovat, uDoSuje mu i ten NUC.
    Jistě, ale tady se nebavíme o cíleném DoSu, ale o robotech zkoušejících hesla.
    Mimo jiné se zmiňuje, že tak jako tak povoluje přístup k SSH jen z definovaného whitelistu adres. Proč se tedy vůbec bavíme o náhodných návštěvách robotů louskajících hesla?
    Přišlo mi, že tento subthread řeší nestandardní port.
    a veřejnou adresou
    Tak já se bavil konkrétně o domácím routeru, např. Nexx WT3020 nebo TP-Link WDR3500. Ale jinak takhle internet funguje :-) (nečekal bych zrovna od tebe, že budeš veřejnou adresu považovat za něco speciálního) (a jinak IPv6 tohle nejspíš vyřeší, protože nebudeš vědět, co v celé /64 skenovat)
    Cestovat na exkurzi z Ochrany ovzduší se bude autem, na naftovném se domluvíme s vrchním dovozcem.
    25.3. 00:11 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    a veřejnou adresou
    nečekal bych zrovna od tebe, že budeš veřejnou adresu považovat za něco speciálního

    Captain context. Zkus si tu větu, ze které jsi vytáhl poslední tři slova, přečíst celou.

    Jendа avatar 24.3. 06:40 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    povoleni pristupu pouze z konkretnich IP (pomoci hosts.allow, hosts.deny)
    Možná bych preferoval iptables, je tam méně vrstev potenciálně zabugovaného SW.
    Cestovat na exkurzi z Ochrany ovzduší se bude autem, na naftovném se domluvíme s vrchním dovozcem.
    24.3. 11:25 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Málem jsem napsal, že to snad každný, ale… vypadá to že ne.
    otasomil avatar 24.3. 12:33 otasomil | skóre: 36 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Možná bych preferoval iptables...
    Taky reseni. hosts.allow je vsak trivialni. Staci zadat do hosts.allow viz priklad:
    sshd : 100.100.100.100 : allow
    sshd : [2000:2000:2000::2000] : allow
    sshd : ALL : deny
    
    K čemu hudba, která nevede k extázi... Stop MDMA !!! Už je to víc jak 50 let: http://buxlrerulbak7g3e.onion/
    5.4. 12:25 2017
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Pro mne klicova vyhoda reseni pres IPTABLES je moznost DROP packetu. Tedy filtrovani aniz bych utocnikovi potvrdil, ze na danem portu neco bezi. Vlastne mam vse co neni ACCEPT nastaveno na DROP, vcetne default policy.

    Vlastne jeste lepsi je mit vlastni honeypot a misto DROP to preposlat na ten honeypot.

    28.3. 08:58 JZD | skóre: 10 | blog: Na_dvorku
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Škoda, že tu nejsou checkboxy, protože bych zaškrknul: nemám žádný server, o co jde?, nikde. Musel sem se tedy zvolit jednu z možností.
    Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
    Conscript89 avatar 1.4. 11:08 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    To je asi tak, jako kdyz by byla otazka: "Jake mate kravy?" A moznosti:
    vsechny modre
    vsechny zelene
    nemam kravy
    Pro cloveka co nema kravy jsou vsechny pravdive
    I can only show you the door. You're the one that has to walk through it.
    1.4. 23:26 JZD | skóre: 10 | blog: Na_dvorku
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Asi mi něco uniká, ale jak mohou být všechny pravdivé? Když nemám krávy, tak je prostě nemám. Takže nemohu odpovědět, že jsou všechny modré nebo zelené.
    Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
    Jendа avatar 2.4. 02:28 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Cestovat na exkurzi z Ochrany ovzduší se bude autem, na naftovném se domluvíme s vrchním dovozcem.
    3.4. 23:53 ehm
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?
    Mně především ta volba nemám žádný server přijde úplně zbytečná (a trochu zavádějící; jeden nemusí mít server, aby mohl používat port knocking např. v práci). Lepší by bylo, aby lidi, co žádný server nespravují, prostě neodpovídali. Tedy otázka by začínala nějak jako: „Pokud spravujete nějaký server, používáte ...“.
    Conscript89 avatar 4.4. 12:37 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Používáte na serverech port knocking?

    No, to bych zrovna rekl ze je otazka "Používáte na serverech port knocking?" polozena spravne. Az na vyse zmineny problem s univerzalnim kvantifikatorem ktery v otazce tak nejak skryte je. S otazkou typu "A => B" je situace jeste horsi. (mozna nekdo mezitim otazku zmenil)

    Bude to znit kostrbate, ale ted me narychlo napada ze bez problemu by mohlo byt: "Spravujete server? Pokud ano, pouzivate port nocking?"

    I can only show you the door. You're the one that has to walk through it.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.