Google představil novou doménu nejvyššího řádu: .meme. Viz například knowyour.meme nebo find.meme.
IKEA představila 3 senzory pro chytrou domácnost: senzor na dveře a okna PARASOLL, bezdrátový pohybový senzor VALLHORN a senzor úniku vody BADRING. Budou kompatibilní s Home Assistant?
Weston, referenční implementace kompozitoru pro Wayland, byl vydán ve verzi 13.0.0. Přehled novinek v oznámení.
Laboratoře CZ.NIC vydaly novou verzi 4.23.0 aplikace Datovka, tj. svobodné multiplatformní desktopové aplikace pro přístup k datovým schránkám a k trvalému uchovávání datových zpráv v lokální databázi. Přidána byla podpora pro velkoobjemové datové zprávy (VoDZ) a pro typy datových schránek PFO_ARCH, PFO_AIAT a PFO_AZI. Další novinkou je pamatování velikosti dialogových oken, pozice ovládacích prvků, šířek sloupců a řazení položek
… více »Distribuce Tails specializující se ochranu online soukromí uživatele byla vydána ve verzi 5.20. Mimo jiné aktualizuje Tor Browser (13.0.4) a Thunderbird (115.5), opravuje několik chyb.
Bylo rozhodnuto, že Red Hat Enterprise Linux 10, jehož vydání je plánováno na první pololetí 2025, bude už bez X serverů. Zůstane pouze Xwayland.
Mobilní Datovka, tj. svobodná aplikace pro přístup k datovým schránkám pro zařízení s operačním systémem iOS a Android, byla minulá týden vydána v nové verzi 2.0.0. Zásadně bylo zmodernizováno uživatelské rozhraní. Přibyla možnost přepínat aplikaci mezi světlým a tmavým režimem. Současně byl publikován rozhovor QaA: Projekt Datovka očima vývojářů.
Multiplatformní open source aplikace scrcpy (Wikipedie) pro zrcadlení obrazovky i audia připojeného zařízení se systémem Android na desktopu a umožňující ovládání tohoto zařízení z desktopu, byla vydána v nové verzi 2.3.
Včera skončila upstream podpora PHP 8.0. Podporované verze jsou 8.1, 8.2 a 8.3.
Představen byl herní notebook TUXEDO Sirius 16 - Gen1 s 16,1palcovým displejem s rozlišením 2560 x 1440 pixelů, 8jádrovým CPU AMD Ryzen 7 7840HS a GPU AMD Radeon RX 7600M XT 8 GB. V konfiguraci si lze vybrat až 96 GB RAM. Hmotnost notebooku je 2,3 kg. Koupit jej lze s nainstalovaným TUXEDO OS nebo Ubuntu 22.04 LTS. Cena začíná na 1 699 eurech (41 500 korun).
Nov 20 12:42:55 mat sshd[9304]: reverse mapping checking getaddrinfo for segment-124-30.sify.net [124.30.157.4] failed - POSSIBLE BREAK-IN ATTEMPT! Nov 20 12:42:56 mat sshd[9304]: error: PAM: Authentication failure for root from 124.30.157.4 Nov 20 12:43:24 mat sshd[9319]: error: PAM: Authentication failure for root from dsl-217-155-184-54.zen.co.uk Nov 20 12:45:00 mat sshd[9360]: error: PAM: Authentication failure for root from 62.138.9.189 Nov 20 12:45:53 mat sshd[9404]: reverse mapping checking getaddrinfo for corporat200-69115174.sta.etb.net.co [200.69.115.174] failed - POSSIBLE BREAK-IN ATTEMPT! Nov 20 12:45:53 mat sshd[9404]: error: PAM: Authentication failure for root from 200.69.115.174 Nov 20 12:46:33 mat sshd[9421]: error: PAM: Authentication failure for root from adsl-068-157-239-147.sip.mem.bellsouth.net Nov 20 12:47:16 mat sshd[9445]: error: PAM: Authentication failure for root from port-212-202-242-170.static.qsc.de
povolit prihlaseni jen z konkretni(ch) IP zakazat roota pres ssh hodit ssh na jiny port a ano, treba i povolit jen konkretni uzivatelem.
AllowUsers jmena_povolenych uzivatelu_oddelena_mezerouCo ještě ten PAM potřebuji ho pro přihlašování heslem? Pokud zadám do konfiguračního souboru následující, přihlášení se nezdaří.
UsePAM no PasswordAuthentication yesParametr AllowedAuthentications není mou verzí sshd podporován.
Na tento problém jsem upozorňoval a vyzval k hledání řešení, leč žádné nebylo nalezeno.
Jediný způsob, jak tento útok rozpoznat, je podle souvislé řady neúspěšných přihlášení k jednomu účtu. Jenže to znamená, že zablokovat se bude muset účet bez ohledu na zdrojovou adresu, a to znamená, že znemožníte pokus o regulérní přihlášení.
Takže buď to risknete a uděláte blokování takto.
Nebo se pokusíte prověřit adresu ještě před přihlášením (např. sdílenými seznamy útočníků – tohle ale vyžaduje důvěru nebo vlastní rozsáhlou síť honeypotů).
Nebo proces přihlašovaní odlišíte od standardního, abyste mohl poznat standardní útok (různé formy ťukání – rozumná by byla sekvence pokusů přihlásit se na několik zvláštních účtů; vícefaktorová autentizace – např. jednorázová hesla doručovaná přes GSM).
Přiznám se, že mi není úplně jasné, co chcete vlastně řešit. ssh jsou záměrně udělané dveře do systému, tak je logické, že kdokoli, kdo půjde kolem, může zkusit vzít za kliku. Pokud jsou ty dveře dostatečně masivní, a pokud rozumně zacházím s klíči od těch dveří (dostatečně silná hesla, nebo rovnou PasswordAuthentication no
), tak prostě občas někdo bude klepat, a tím to končí. Dají se provádět i další věci - PermitRootLogin no
a na roota "su-ovat" z účtu "Slw6k4ehjf7tR1qbn6" (viz tato debata), mít ssh na nestandardním portu nebo zprovoznit port knocking. Tím se dá bezpečnost mírně vylepšit (ano, vím, že někteří lidé s tímto názorem nebudou souhlasit, přestože slovo "mírně" zdůrazňuji), ale pořád jsou to ty dveře (tj. sshd), které musí v každém případě nápor útočníka vydržet.
Osobně používám PasswordAuthentication no
+ mi sshd běží na nestandardním portu (tak trochu z historických důvodů). Za poslední měsíc to nevypadá na žádný pokud o průnik (což by mohlo znamenat, že většina útočníků se nechce zdržovat skenováním portů, a když rovnou nenarazí na otevřenou dvaadvacítku, tak táhnou dál), ale i kdyby to někdo zkoušel, asi by mě to moc netrápilo (nanejvýš bych pro jistotu překontroloval dostupné aktualizace systému).
tls-auth
volbou. Ale pokud je pro tazatele podmínkou možnost přihlašování se pomocí hesla, tak mu tohle řešení bude jen těžko vyhovovat.
Tiskni
Sdílej: