abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Lze stíhací letoun F-35 'jailbreaknout jako iPhone'?
    dnes 12:22 | Humor

    Nizozemský ministr obrany Gijs Tuinman prohlásil, že je možné stíhací letouny F-35 'jailbreaknout stejně jako iPhony', tedy upravit jejich software bez souhlasu USA nebo spolupráce s výrobcem Lockheed Martin. Tento výrok zazněl v rozhovoru na BNR Nieuwsradio, kde Tuinman naznačil, že evropské země by mohly potřebovat větší nezávislost na americké technologii. Jak by bylo jailbreak možné technicky provést pan ministr nijak nespecifikoval, nicméně je známé, že izraelské letectvo ve svých modifikovaných stíhačkách F-35 používá vlastní software.

    NUKE GAZA! 🎆 | Komentářů: 0
    Raspberry Pi Official Magazine 162
    dnes 06:00 | Zajímavý článek

    Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 162 (pdf).

    Ladislav Hagara | Komentářů: 0
    Sdružení CZ.NIC vydalo Domain Report za rok 2025
    dnes 05:55 | IT novinky

    Sdružení CZ.NIC, správce české národní domény, zveřejnilo Domain Report za rok 2025 s klíčovými daty o vývoji domény .CZ. Na konci roku 2025 bylo v registru české národní domény celkem 1 515 860 s koncovkou .CZ. Průměrně bylo měsíčně zaregistrováno 16 222 domén, přičemž nejvíce registrací proběhlo v lednu (18 722) a nejméně pak v červnu (14 559). Podíl domén zabezpečených pomocí technologie DNSSEC se po několika letech stagnace výrazně

    … více »
    Ladislav Hagara | Komentářů: 7
    Google Pixel 10a
    včera 18:33 | IT novinky

    Google představil telefon Pixel 10a. S funkci Satelitní SOS, která vás spojí se záchrannými složkami i v místech bez signálu Wi-Fi nebo mobilní sítě. Cena telefonu je od 13 290 Kč.

    Ladislav Hagara | Komentářů: 4
    Novinky z vývoje Asahi Linuxu – únor 2026 / Linux 6.19
    včera 16:22 | Komunita

    Byl publikován přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Fedora 43 Asahi Remix s KDE Plasma už funguje na M3. Zatím ale bez GPU akcelerace. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

    Ladislav Hagara | Komentářů: 0
    Red Hat představil nástroj pro hodnocení připravenosti organizací na digitální suverenitu
    včera 14:00 | IT novinky

    Red Hat představil nový nástroj Digital Sovereignty Readiness Assessment (GitHub), který organizacím umožní vyhodnotit jejich aktuální schopnosti v oblasti digitální suverenity a nastavit strategii pro nezávislé a bezpečné řízení IT prostředí.

    Ladislav Hagara | Komentářů: 0
    BarraCUDA, kompilátor CUDA pro AMD
    včera 12:22 | Zajímavý software

    BarraCUDA je neoficiální open-source CUDA kompilátor, ale pro grafické karty AMD (CUDA je proprietární technologie společnosti NVIDIA). BarraCUDA dokáže přeložit zdrojové *.cu soubory (prakticky C/C++) přímo do strojového kódu mikroarchitektury GFX11 a vytvořit tak ELF *.hsaco binární soubory, spustitelné na grafické kartě AMD. Zdrojový kód (převážně C99) je k dispozici na GitHubu, pod licencí Apache-2.0.

    NUKE GAZA! 🎆 | Komentářů: 1
    Příjmy z podvodných reklam na sociálních sítích v ČR vzrostly na 3,4 miliardy
    17.2. 17:00 | IT novinky

    Podvodné reklamy na sociálních internetových platformách, jako je Facebook, Instagram nebo X, vytvořily loni v Česku jejich provozovatelům příjmy 139 milionů eur, tedy zhruba 3,4 miliardy korun. Proti roku 2022 je to nárůst o 51 procent. Vyplývá to z analýzy Juniper Research pro společnost Revolut. Podle výzkumu je v Česku zhruba jedna ze sedmi zobrazených reklam podvodná. Je to o 14,5 procenta více, než je evropský průměr, kde je podvodná každá desátá reklama.

    Ladislav Hagara | Komentářů: 10
    KDE Plasma 6.6
    17.2. 15:44 | Nová verze

    Desktopové prostředí KDE Plasma bylo vydáno ve verzi 6.6 (Mastodon). Přehled novinek i s videi a se snímky obrazovek v oficiálním oznámení. Podrobný přehled v seznamu změn.

    Ladislav Hagara | Komentářů: 0
    Czkawka a Krokiet 11.0
    17.2. 03:22 | Nová verze

    Czkawka a Krokiet, grafické aplikace pro hledání duplicitních a zbytečných souborů, byly vydány ve verzi 11.0. Podrobný přehled novinek v příspěvku na Medium. Od verze 7.0 je vedle frontendu Czkawka postaveného nad frameworkem GTK 4 vyvíjen nový frontend Krokiet postavený nad frameworkem Slint. Frontend Czkawka je už pouze v udržovacím módu. Novinky jsou implementovány ve frontendu Krokiet.

    Ladislav Hagara | Komentářů: 27
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (18%)
     (6%)
     (0%)
     (11%)
     (27%)
     (3%)
     (4%)
     (2%)
     (12%)
     (27%)
    Celkem 904 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / SSH a DDoS - kex_exchange_identification
    Štítky: ahoj, DDos, port, server, SSH

    Dotaz: SSH a DDoS - kex_exchange_identification

    22.9.2023 19:53 Petr
    SSH a DDoS - kex_exchange_identification
    Přečteno: 579×
    Ahoj.
    Od rána mě trápí masivní útok na SSH vedený na můj server.
    Projevuje se to tak, že jednou se přihlásím a pak třeba 4x ne. Když se připojení nezdaří, dostanu chybovou hlášku viz. níže. Server a SSH je chráněn přes fail2ban. 
    kex_exchange_identification: read: Connection reset by peer
Connection reset by 195.47.xxx.yyy port 22
    Měl by někdo nápad, co s tím a jak případně a lépe bojovat ?
    Fail2Ban má u SSH aktuálně nastavený mode = ddos.

    Díky,
    Petr
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    22.9.2023 21:06 ewew | skóre: 40 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification

    Najjednoduchšie riešenie je zablokovať ip rozsah z ktorého ide útok. Týmto zamedzíš aplikácii limitu na neoverené súčasne pripojenia MaxStartups. Môžeš tiež znížiť čas po ktorý ssh čaká na úspešne pripojenie LoginGraceTime Ďalej je možnosť nahlásiť dané ip hostingu alebo IPS cez ktorého je server pripojený.

    Nenapísal si akou metódou sa prihlasuješ. Heslo, kľúč alebo certifikát ?

    Root v linuxe : "Root povedal, linux vykona."
    22.9.2023 21:21 X
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    Nekonecny pribeh. a] Nepouzivej port 22. NIKDY! + POUZE prihlasovani klicem(ed25519)!, nebo VPN(wireguard,ipsec,openvpn)..
    22.9.2023 21:39 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    Inak s tou VPN je to dobrý vtip. To len prenesie tento problém zo SSH na VPN.
    22.9.2023 21:59 X
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    Brute-force na VPN? Jak? Klidne se necham poucit.
    23.9.2023 08:23 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    Tak isto, zahltenie požiadavkami na pripojenie (skúšanie hesiel alebo kľúčov) až sa prípojnému bodu vyčerpajú zdroje.
    22.9.2023 21:36 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    Bežné chovanie botnetu ktorý skúša či ukradnuté kľúče pasujú do tvojich dverí. Máš veľa internetových rozsahov z ktorých sa pripájaš na ten server? Ak nie, tak to obmedz firewallom cez geofence.
    23.9.2023 11:51 Petr
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    No, v podstatě jde o to, že na tom serveru běží webhosting. Pro upload / download souborů se používá SFTP. Autorizace pro SSH je pouze na úrovni SSH klíčů - tedy přes jméno a heslo se k SSH jako takovému nelze přihlásit. Autorizace pro SFTP přístup "běžných uživatelů" je přes jméno / heslo s následným chrootem. 
    cat /etc/ssh/sshd_config
Port 22
AddressFamily inet
SyslogFacility AUTH
LogLevel INFO
MaxAuthTries 3
MaxSessions 20
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
MaxStartups 1:30:100
AcceptEnv LANG LC_*

Subsystem sftp internal-sftp
AllowGroups group1 group2 group3

Match group group1
        ChrootDirectory /var/www/%u
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp

Match group group2
        ChrootDirectory /var/www2/%u
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp

...
    A tady konfig Fail2Ban 
    cat /etc/fail2ban/jail.local
#
# JAILS
#

#
# SSH servers
#

[sshd]

# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
mode   = ddos
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
enabled = true


[dropbear]

port     = ssh
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s


[selinux-ssh]

port     = ssh
logpath  = %(auditd_log)s
    Fail2Ban jako takový funguje, viz... 
    iptables -L -v -n
...
Chain f2b-sshd (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       106.52.183.129       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.52.181.142       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.52.145.100       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.52.125.223       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.52.107.254       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.52.107.123       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.51.3.214         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.51.168.98        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.37.72.112        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.252.20.88        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.251.237.171      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.248.231.66       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.246.224.154      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.241.54.211       0.0.0.0/0            reject-with icmp-port-unreachable
...
    Nějaký nápad ?

    Jak doporučuje "X" - bohužel, v tuto chvíli nemohu změnit port SSH a ani SSH omezit na určitou skupinu IP.
    Bohužel, potřebujeme to mít v tuto chvíli vystavené do internetu.

    Díky,
    Petr
    23.9.2023 12:36 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    A okolo toho riadku s danou IP je čo?

    U mňa je tam obvykle napr: 
    no matching key exchange method found. Their offer: (prastaré blbiny)
    Je to kvôli používaniu starých sftp klientov.
    23.9.2023 12:41 Petr
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    nezaměňujte prosím s 
    kex_exchange_identification
    23.9.2023 12:46 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    Ak chceme vyriešiť následok, potrebujeme poznať príčinu.

    Tá príčina je obvykle o kúsok skôr ako sa objaví následok. Následok bol že sa klient odpojil u mňa po cca 5 sekundách po pokuse o výmenu kľúčov nepodporovaným spôsobom.

    To asi nebol dôvod prečo som sa pýtal čo je v logu okolo toho. Že nie? A že sa to tak nikdy nerobí že by sa odstránila príčina aby zmizli jej následky?

    23.9.2023 14:18 X
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    Palati druha varianta. Instalujte VPN a to SSH zruste a budete mit klid. Vas boj.
    24.9.2023 11:35 Petr
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    Vyřešeno úpravou konfigurace SSH a Fail2Ban.

    Petr
    24.9.2023 12:04 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    mode normal namiesto ddos?
    24.9.2023 13:37 X
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    Jak?
    24.9.2023 14:00 Petr
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification 
    sshd_config
...
MaxSessions 50
MaxStartups 100
Match Address **************
...

    jail.local
...
bantime  = 1440m
findtime  = 30m
maxretry = 3
...
    24.9.2023 19:28 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: SSH a DDoS - kex_exchange_identification
    To zníženie maxretry je dosť rozumné. Boti stále rátajú s 5, a distribuujú pokusy.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.