Debian dnes slaví 32 let. Ian Murdock oznámil vydání "Debian Linux Release" 16. srpna 1993.
Policisté zadrželi odsouzeného drogového dealera Tomáše Jiřikovského, který daroval ministerstvu spravedlnosti za tehdejšího ministra Pavla Blažka (ODS) bitcoiny v miliardové hodnotě, a zajistili i darovanou kryproměnu. Zadržení Jiřikovského může být podle ministerstva důležité k rozuzlení kauzy, která vypukla koncem května a vedla ke konci Blažka. Zajištění daru podle úřadu potvrzuje závěry dříve publikovaných právních
… více »Administrativa amerického prezidenta Donalda Trumpa jedná o možném převzetí podílu ve výrobci čipů Intel. Agentuře Bloomberg to řekly zdroje obeznámené se situací. Akcie Intelu v reakci na tuto zprávu výrazně posílily. Trump minulý týden označil Tana za konfliktní osobu, a to kvůli jeho vazbám na čínské společnosti, čímž vyvolal nejistotu ohledně dlouholetého úsilí Intelu o obrat v hospodaření. Po pondělní schůzce však prezident o šéfovi Intelu hovořil příznivě.
Společnost Purism stojící za linuxovými telefony a počítači Librem má nově v nabídce postkvantový šifrátor Librem PQC Encryptor.
VirtualBox, tj. multiplatformní virtualizační software, byl vydán v nové verzi 7.2. Přehled novinek v Changelogu. Vypíchnou lze vylepšené GUI.
Eric Migicovsky, zakladatel společnosti Pebble, v lednu oznámil, že má v plánu spustit výrobu nových hodinek Pebble s již open source PebbleOS. V březnu spustil předprodej hodinek Pebble Time 2 (tenkrát ještě pod názvem Core Time 2) za 225 dolarů s dodáním v prosinci. Včera představil jejich konečný vzhled (YouTube).
Byla oznámena nativní podpora protokolu ACME (Automated Certificate Management Environment) ve webovém serveru a reverzní proxy NGINX. Modul nginx-acme je zatím v preview verzi.
Vývojáři KDE oznámili vydání balíku aplikací KDE Gear 25.08. Přehled novinek i s náhledy a videi v oficiálním oznámení.
Společnost Perplexity AI působící v oblasti umělé inteligence (AI) podala nevyžádanou nabídku na převzetí webového prohlížeče Chrome internetové firmy Google za 34,5 miliardy dolarů (zhruba 723 miliard Kč). Informovala o tom včera agentura Reuters. Upozornila, že výše nabídky výrazně převyšuje hodnotu firmy Perplexity. Společnost Google se podle ní k nabídce zatím nevyjádřila.
Intel vydal 34 upozornění na bezpečnostní chyby ve svých produktech. Současně vydal verzi 20250812 mikrokódů pro své procesory řešící 6 bezpečnostních chyb.
Potřeboval bych logovat uživatelská jména a hesla při přihlášení (přes ssh) v případě že byla zadána špatně. Jen nevím jak začít:D mohl bych poprosit zda by jste mi o přihlašovacím mechanismu něco řekli budu ho zřejmě muset významě modifikovat?
No treba v debianu se automaticky loguje chybne prihlaseni do /var/log/auth.log. Myslim ze ale ve vsech distribucich to bude stejne.
Logovat hesla ?!
Přihlašování pře SSH je dobře logované, takže stačí jen parsovat běžný log nebo si nastavit log vlastní jen pro ssh, třeba přes syslog-ng.conf.
no ano ale tam jsou jen uživatelská jména nikoliv hesla. Jak ho donutit logovat i hesla jsem se nedočetl.
našel jsem i diskusi http://ubuntuforums.org/showthread.php?t=840280
ze které ale vyplynulo že bude potřeba modifikovat ssh server což mi teda nepřipadá jako moc dobré řešení.
(je taky možný že vás nechápu)
no ano ale tam jsou jen uživatelská jména nikoliv hesla. Jak ho donutit logovat i hesla jsem se nedočetl.
Opravdu vám to připadá jako dobrý nápad?
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
sshd. Právě tohle je hlavní výhoda autentizace klíčem: i když útoční získá plnou kontrolu nad serverem, stejně nedostane do ruky nic, co by mu umožnilo přihlásit se na další stroje, kde používáte stejný klíč.
ano, je to v dane situaci nezbytne. Netvrdim ze to musi byt v auth.log muze to byt klidne i jinam ale potrebuji si logovat ip + jmeno + heslo + cas ale jen pro chybna prihlaseni coz asi pujde dobre ofiltrovat.
Ne chápete dobře :)
Já jen nechápu potřebu logovat hesla :(
Přečetl jsem si vše psáno níže a rozumím vysvětlení, ale stejně bych hesla nelogoval:):):)
Mé řešení zní, povolit přihlášení na ssh jen vyjmenovaným uživatelům a skupinám - toliko pro bezpečnost.
Pro snížení traficu:
se mi osvědčilo automatické blokování na firewallu IP:PORT na určitý čas po N neúspěšných loginech (třeba 5ti) třeba na 15min s progresivním nárustem času blokování při opakovaném pokusu.
Většina scanerů to ukončí velice brzy a měsíc po nasazení už je to zkouší jen sem tam, oproti systematický narůstajícím „útočníkům“ (napadených strojů).
Například Fail2ban. Moc mi to nevyhovovalo (ztrácel jsem přehled), tak jsem si napsal vlastní skript.
>Pokud to zkusí jedenkrát za 20min tj. 72× za den, ať je jich i 10tis :), to přece neva.
Takovéto blokování není primárně způsob jak zvýšit bezpečnost, ale zbavit se otravného hmyzu :).
A pokud se jedná o server pro 3 ssh uživatel (jestli jsem dobře četl), tak můžu dát i periodu blokování na 30min a udržovat si jejich historii 1den a postupně navyšovat blokovací čas při opakovaném pokusu. :)
Aha takže normálně to nepůjde. A co "před" ssh server "něco" strčit co bude logovat vše, ale ukládat bude jen to co se dostane do auth.log jako invalid nebo fail. ?
ano. Chci na tam vložit mnohem podrobnější analýzu ale uhádl jste co myslím :) právě proto abych se sám neuřízl. Navíc v tomhle případě jde o "fingerprinting" robotů kteří hádají hesla. mám tisíce útoků denně a cca 100 nových ip útočníků denně + neukojitelnou zvědavost co tam vlastně zadávají. nedělám si iluze o tom že tam budou i normální hesla ukradená z login formů různých webů.
sshd nebo příslušného PAM modulu.
bohužel je to stroj kam se přihlašují tři lidé z čehož pouze o jednom (o sobě) mohu říct že přihlášení odkudkoliv nepotřebuje. Takto vygenerovaný "list" chci distribuovat i mezi své ostatní servery jako "preventivku".
Děkuji za cené rady a hlavně o jiný pohled na věc :)
13.8.2009 14:42
Adrin | skóre: 13
| blog: kosmopako
Protože sdílím tvé nadšení na monitorování nepatřičného dění na síti. Probral jsem v rychlosti internet. K nachytaní zlých živlů slouží takzvané Honeypot nebo IDS a nedávno jsem slyšel o linuxovém balíku, který simuluje zranitelné porty a služby windows. Možná jsou i jiné balíky s falešnými SSH a podobně. ubuntuforums.org/showthread.php
13.8.2009 14:23
Adrin | skóre: 13
| blog: kosmopako
Na první pohled, a jak už bylo řečeno, bude nejjednodušší upravil PAM (místo klasické autentizace dát nějakou podvrženou, která nejprve loguje a pak spouští přihlášení). Možná ale jednodušší by bylo odchytávat hesla z ftp nebo telnetu - tcpdumpem by se daly vycucat přímo ze síťové komunikace. Třeba tam bude ještě víc útoků.
Tiskni
Sdílej:
