Portál AbcLinuxu, 7. května 2025 12:13

Zakázat celý rozsah?

5.7.2007 08:36 | Přečteno: 1655× | Linux - IT | poslední úprava: 5.7.2007 20:13

Na serveru mi běží pár služeb, k tomu hosts.deny, pozoruji docela často nějaké pokusy o zalogování se po ssh, zkoušení hesel, z nečekaně širokého světa.

Nejdřív jsem nad tím chtěl mávnout rukou, tak si děti hrajou, v diskusích tady na AbcL byly takové návrhy, jako domluvit se s adminem domény, s tim, přes mail, co najdu přes whois.

Pak jsem se podíval k tátovi do pc, vidim tam některé ajpiny stejné, stejně mi jejich počet začal narůstat rychleji, snažím se blokovat dle jejich souhrnu.

Nakonec mne napadlo, místo posílání výpisu logu na toho admina zakázat celou síť - příklad z manu | hosts.deny ... 

  o      A string that ends with a `.' character. A host address is matched if its  first  numeric  fields
         match  the  given  string.   For  example, the pattern `131.155.' matches the address of (almost)
         every host on the Eindhoven University network (131.155.x.x).
Co byste dělali/děláte na mém místě?

       

Hodnocení: 50 %

        špatnédobré        

Anketa

Kudy vede cesta?
 (9 %)
 (59 %)
 (6 %)
 (3 %)
 (0 %)
 (22 %)
Celkem 32 hlasů

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

5.7.2007 08:45 medulin | skóre: 31 | blog: medulin | ČR
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Odpovědět | Sbalit | Link | Blokovat | Admin 
Co byste dělali/děláte na mém místě?
Nic. Mávám nad tím rukou.
5.7.2007 10:21 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Pokud jsou scany mene agresivni, tak nad tim mavam rukou, ale uz jsem parkrat zaznamenal scan, ktery me vytizil CPU na 30%, v takovem pripade blokuji IP adresu.
Heron avatar 5.7.2007 08:49 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Odpovědět | Sbalit | Link | Blokovat | Admin
denyhosts
Heron
vencour avatar 5.7.2007 11:11 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?

Už používám, dneska jsem zdrsnil konfiguraci, snížil počet neúspěšných pokusů atd.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
5.7.2007 11:25 jm
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
denyhosts
To je bezpecnostni dira sama o sobe (a to opakovane).
fx-95 avatar 5.7.2007 09:14 fx-95 | blog: Achjo
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Odpovědět | Sbalit | Link | Blokovat | Admin
Tak začni používat nějakýho démona, co ty adresy zablokuje sám po pár neúspěšných pokusech o login ;). Já používám sshutout.
Most Inteligent Consumer Realize Our Software Only for Fools (and) Teenagers
5.7.2007 09:14 Lu-Tze | skóre: 15 | blog: Lu-Tzeho blog
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Odpovědět | Sbalit | Link | Blokovat | Admin
Proč nejde javascript:document.forms[2].submit()?
masožravá palma avatar 5.7.2007 10:44 masožravá palma | skóre: 6 | blog: Agnes | Matka měst
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Odpovědět | Sbalit | Link | Blokovat | Admin
Není tady něco špatně s anketou? Jakýkoliv pokus o hlasování i kliknutí na nějaký z těch divných odkazů končí tady.
Mám městečko, podpořte průmysl a dopravu. Snižujte kriminalitu.
vencour avatar 5.7.2007 11:12 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?

Přidal jsem tuto mou chybu do vzkazu správcům.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
Bluebear avatar 5.7.2007 12:39 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Odpovědět | Sbalit | Link | Blokovat | Admin
Obávám se, že většina těch útoků jsou projevy virů/červů. Čekal bych, že ty IP jsou většinou NATy nebo dynamické adresy domácích počítačů připojených přes kabelovou televizi apod., takže zablokování rozsahu IP bude mít ten nepříjemný vedlejší efekt, že od daného poskytovatele se k tobě nikdo nedostane.

Nicméně v případě masívního útoku je dočasný zákaz rozsahu, ze kterého to přišlo, rozumné nouzové opatření (ale opravdu spíš nouzové).
To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...
Bluebear avatar 5.7.2007 12:41 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Odpovědět | Sbalit | Link | Blokovat | Admin
Možná by stálo za to nasadit hardwarový firewall, který je příliš jednoduchý, než aby šel nějak rozumně hacknout (nějaká malá krabička s ARMem nebo jiným malým procesorem). Počet útoků to nezmenší, ale riziko průniku se sníží.
To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...
Bluebear avatar 5.7.2007 12:49 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Například takový. Do něj malý kernel, ssh povolený jen pro vnitřní síť, NAT a firewall nastavený tak, aby propouštěl jen pár vybraných typů spojení, a vyhráls :-)
To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...
vencour avatar 6.7.2007 15:40 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?

Jako inspirace by to šlo. Vypadá docela lákavě. Až na tom serveru bude co chránit, tak na to asi dojde - podle aktuálních zkušeností se současným řešením se pak rozhodnu.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
5.7.2007 18:30 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Odpovědět | Sbalit | Link | Blokovat | Admin
Pod debianem zacni treba s apt-get install fail2ban.
9.7.2007 16:30 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Odpovědět | Sbalit | Link | Blokovat | Admin
Na domácím serveru mám omezený počet nových spojení za sekundu a v sshd_config povoleny jen určité uživatele. Skenovat si pak může kdo chce co chce, hesla nemá tempem 3 pokusy za sekundu šanci prolomit.
oVirt | SPICE
vencour avatar 9.7.2007 16:55 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?

Zkoušel jsem LoginGraceTime nastavit na 2m, snad i díky tomu jsem se pak musel přihlásit z localu a ne přes ssh (?), takž jsem to zase zaremoval (#, zakomentoval). Povolený uživatele mam (AllowUsers).

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
9.7.2007 19:05 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Zakázat celý rozsah?
Počet nových spojení mám omezený v iptables (modul limit).
oVirt | SPICE

Založit nové vláknoNahoru

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.