Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Анализ активности атакующих, связанной с подбором паролей по SSH"	+1 +/–
Сообщение от opennews (??), 05-Сен-20, 08:43
Опубликованы результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как... Подробнее: https://www.opennet.me/opennews/art.shtml?num=53663
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 05-Сен-20, 08:43	+11 +/–
>ssh >пароль
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

2. Сообщение от Dimitriy Reznitskiy (?), 05-Сен-20, 08:44	+/–
Да итижи пассатижи [rezdm@c3po ~]$ sudo cat /var/log/secure | grep "password check failed" | less | wc -l 22532 Лог начинается с 3:30 утра где-то, сейчас 7:40. fail2ban установлен.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #38, #44, #117

3. Сообщение от Аноним (3), 05-Сен-20, 08:50	+22 +/–
Вы лучше скажите самые безопасные логин и пароль которые не перебирали ни разу. Я себе их поставлю.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #8, #15, #19, #112, #139

4. Сообщение от Терпила (?), 05-Сен-20, 08:59	–3 +/–
Такая же ситуевина была неделю назад, заметил по чистой случайности на следующий день после пролома. Перелил с нуля, теперь наружу только впн и смотрит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Дима (??), 05-Сен-20, 09:06	+1 +/–
Закрывайте глаза и вслепую бацайте по клавиатуре, так что бы символов двадцать минимум. Будет вам вполне надежный пароль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14, #65

6. Сообщение от timur.davletshin (ok), 05-Сен-20, 09:07	+/–
Откажись от паролей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #118

7. Сообщение от timur.davletshin (ok), 05-Сен-20, 09:11	+3 +/–
Дураки должны страдать, остальным стоит волноваться не об этом. А, например, об абьюзерах инфраструктуры серверов обмена открытыми ключами PGP. Например, валидный ключ Tor Project выглядит сейчас так: http://keys.gnupg.net/pks/lookup?op=vindex&fingerprint=on&se...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

8. Сообщение от б.б. (?), 05-Сен-20, 09:12	+9 +/–
я как-то вытаскивал точку с логином root и паролем 1. вроде не подобрали. начинают мудрить, перебирать всякие 123 и 123456, а до 1 никто не додумался :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #53, #71

10. Сообщение от onanim (?), 05-Сен-20, 09:48	+/–
в списке нет нескольких паролей, популярных в китайских роутерах. и это хорошо :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #140

11. Сообщение от Ковид20 (?), 05-Сен-20, 10:11	+1 +/–
Опять Китай :)
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от А10 (?), 05-Сен-20, 10:15	+/–
У меня на продакшене постоянно брудфорсят ssh и я могу подтвердить данные, приведенные в этой статье
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #50

13. Сообщение от d (??), 05-Сен-20, 10:24	–13 +/–
А что, нынче модно везде раскидывать свои приватные ключи, что бы ходить между хостами по ssh?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #20, #21, #25, #29, #34, #76, #96

14. Сообщение от A.Stahl (ok), 05-Сен-20, 10:28	+3 +/–
И как потом эту хрень запомнить? Не проще ли взять первую попавшуюся под руку книгу и выписать оттуда какое-то предложение: "Перед посадкой в людской вагон или высадкой из него личного состава установить стремянку" Всё лучше чем "sfhjkhlk^sdnfb45"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #30, #58, #113, #154

15. Сообщение от YetAnotherOnanym (ok), 05-Сен-20, 10:31	+/–
Очень хороший пароль получается из говядины с бобами: beef+fabaceae=‭4206595485‬
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

16. Сообщение от Аноним (19), 05-Сен-20, 10:32	+4 +/–
Так они их и так знают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #114

18. Сообщение от timur.davletshin (ok), 05-Сен-20, 10:34	+1 +/–
Да его и не на продакшене брутфорсят постоянно. В день несколько попыток долбиться на SSH/VPN домашний роутер регулярно получает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #27

19. Сообщение от Аноним (19), 05-Сен-20, 10:51	+2 +/–
Лучше несколько простых слов с парой спецсимволов, чем 6-8 кракозябр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #152

20. Сообщение от Аноним (20), 05-Сен-20, 11:10	+2 +/–
ssh -A попробуй
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

21. Сообщение от Michael Shigorin (ok), 05-Сен-20, 11:12	+3 +/–
В смысле раскидывать?  ssh-agent(1), ssh-add(1), ssh -A в школе не проходили?  Ну спасибо Рейману скажите... PS: раз уж никто не упомянул -- 22/tcp тоже полезно куда-нить сдвинуть, хоть это и не панацея.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22, #57, #135, #137

22. Сообщение от Аноним (22), 05-Сен-20, 11:43	+7 +/–
Толку от этого мало. Я всегда свои личные SSH вешаю на разные нестандартные порты - всё равно с завидной регулярностью появляются в auth.log записи от мамкиных хацкеров. Но да, хотя бы не десятки тысяч попыток в день. Строго на 22-ой порт ломятся, видимо, самые тупые скрипт-киддисы. Правда, я не могу сказать, что те, кто ломятся на нестандартные порты шибко умнее. :) По крайней мере, они не удосуживаются посмотреть, что "Authentications that can continue: publickey" и переводят своё время на попытки брута.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #26, #54, #74

23. Сообщение от Козлетто (?), 05-Сен-20, 11:59	–7 +/–
Самое лучше решение, совсем не использовать ssh. И сами себе скажите: Зачем он вам нужен?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #59

24. Сообщение от flkghdfgklh (?), 05-Сен-20, 12:08	+1 +/–
Все идеи менять порт это просто засовывание головы в песок. В пространстве IPv4 найти порт ssh на всех адресах доступных в данный момент дело на несколько минут(почитайте про zmap, что ли). А вот переход ssh на IPv6-only и использование не :1 из своей подсети, а рандомного адреса из /64 выданного на виртуалку тебе хостером полностью очищает auth.log от левых попыток. Шансов что в IPv6 кто-то найдет на каком именно адресе у тебя слушает ssh практически нет. Ну и да, использование паролей тоже дурная идея, ключ и только он, в том числе ради собственного удобства.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #41, #77

25. Сообщение от flkghdfgklh (?), 05-Сен-20, 12:09	+1 +/–
ForwardAgent yes в ~/.ssh/config? Не? Не слышал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

26. Сообщение от flkghdfgklh (?), 05-Сен-20, 12:11	+6 +/–
Еще лет 10 назад поанализировав логи при использовании нестандартных портов понял, что смысла нет перевешивать, только себе задачу усложнять прописывая их в ~/.ssh/config для хостов Ниже уже писал, что все проблемы с загаживанием логов неудачными попытками на 100% решает перевод ssh на IPv6-only на отдельном адресе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #36, #43

27. Сообщение от flkghdfgklh (?), 05-Сен-20, 12:12	+4 +/–
Дык какая боту разница «продакшен» или дом? IPv4 он и в Африке IPv4, если на нем висит ssh, то рано или поздно его боты найдут и начнутся долбиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

28. Сообщение от roman (??), 05-Сен-20, 12:25	+5 +/–
Vnc/rdp наше все, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #45

29. Сообщение от Аноним (29), 05-Сен-20, 12:38	+/–
Так же модно, как не понимать разницу между "чтобы" и "что бы".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

30. Сообщение от Аноним (29), 05-Сен-20, 12:45	+2 +/–
Завести себе приложение управления паролями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #75

34. Сообщение от OpenEcho (?), 05-Сен-20, 13:01	+/–
man sshd_config => /TrustedUserCAKeys И после этого вам не нужны ни пароли и не приватные ключи вместе с authorized_keys, а также без подключения к удаленным хостам выдавать доступ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

35. Сообщение от OpenEcho (?), 05-Сен-20, 13:08	+3 +/–
Думаю в Shodan громко смеются т.к. с их ипишников все же идет скан и по IPv6 ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #61

36. Сообщение от Аноним (36), 05-Сен-20, 13:21	+5 +/–
А я всё же наблюдал эффективность переноса ssh на другой порт. Бот проверяет открыт ли порт - порт оказывается закрыт, бот проходит мимо. А конфиг поправить это дело двух секунд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #51, #130

37. Сообщение от Ilya Indigo (ok), 05-Сен-20, 13:30	–2 +/–
> Всего было зафиксировано обращение с 27448 уникальных IP-адресов/ А можно где-нибудь опубликован список, желательно в sshguard формате? .............................. 1599248863|100|4|171.239.253.26 1599254644|100|4|92.11.249.50 1599286308|100|4|108.176.197.136 .............................. Добавил бы сразу на все сервера.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #116

38. Сообщение от InuYasha (??), 05-Сен-20, 13:31	+1 +/–
Та же фигня. Гистограмму (число запросов на IP) смотрю вот так: tail -n скольконадо /var/log/secure | grep "Failed password for" | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c | sort -r | less
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

39. Сообщение от Аноним (39), 05-Сен-20, 13:38	–1 +/–
1599286911|100|4|127.0.0.1 1599291488|100|4|192.168.0.1 1599294242|100|4|192.168.1.1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

40. Сообщение от Аноним (40), 05-Сен-20, 13:39	+5 +/–
Блин, какие все нежные, как боятся, что нехорошие боты начнут к их серверам пароли перебирать...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

41. Сообщение от Аноним (36), 05-Сен-20, 13:40	+1 +/–
Чекер на каком порту висит ssh это уже совсем другой скрипт и время затраты. Плюс то что порт был изменен повышает шансы что ssh работает через ключи, или использует сильный пароль раз о нём позаботились. Меняя порт ssh ты так же облегчаешь работу злоумышленнику - он просто пройдёт мимо и не будет тратить время.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #62

42. Сообщение от Аноним (36), 05-Сен-20, 13:43	+1 +/–
Кто-то просто чистюля и любит порядок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #47

43. Сообщение от Аноним (36), 05-Сен-20, 13:45	–1 +/–
Ну и какого хрена тогда хостинг провайдеры все порты меняют поголовно? Они прям так и пишут - снижает нагрузку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #64

44. Сообщение от Аноним (44), 05-Сен-20, 13:47	+8 +/–
> sudo cat /var/log/secure | grep "password check failed" | less | wc -l Ну ладно cat бесполезный, но зам тут ещё и less? sudo grep -c "password check failed" /var/log/secure
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #103

45. Сообщение от Аноним84701 (ok), 05-Сен-20, 13:58	+2 +/–
> Vnc/rdp наше все, да? Зачем это смузихлебство, если есть проверенные временем (и поколениями пользователей) rlogin/rsh и telnet? o_O
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #105

47. Сообщение от Аноним (47), 05-Сен-20, 14:10	+/–
Ну кто-то молодец потому как понимает, что кто-то перебирает ключи, а вот в реальности тоже пока вас нет и к вам в квартиру кто-то ключи подбирает вы получите уведомление от соседей или с камеры скажите мамкины жулики? Все это преступные действия и анонимность в интернетах тут мешает ловить этих людей а по факту это попытки взлома и добычи информации* Уверен что дальше их конечно придумают как искать и штртафовать но сегодня эпоха цифрового дикарства
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #52

48. Сообщение от Атон (?), 05-Сен-20, 14:12	+11 +/–
> в десятку лидеров также вошёл пароль "J5cmmu=Kyf0-br8CsW" это мой пароль, только я забыл от какого хоста. вот приходится на всех пробовать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

49. Сообщение от Аноним (49), 05-Сен-20, 14:32	+/–
А что насчет port knocker? Уже не актуально?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

50. Сообщение от Аноним (50), 05-Сен-20, 15:05	+2 +/–
у меня не получается подтвердить, на роутере все стандартные порты в хонейпот, ссш порт хрен знает где, для того чтобы до него достучаться нужен port knocking из нескольких стадий, переборы портов с дикими даунтаймами, ну и еще по мелочи... увы, никаких связок логин пароль просто не имею, правда есть одна проблемка, несколько тысяч постоянно сидящих в бане адресов...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #106, #119

51. Сообщение от Аноним (22), 05-Сен-20, 15:13	+/–
Ну, только самые тупые скрипт кидди ломятся только на дефолтный порт. Те, кто поумнее, либо пробуют разные порты, либо вообще перед брутом nmap'ом ищут SSH-серверы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #60, #81

52. Сообщение от Ordu (ok), 05-Сен-20, 15:19	–1 +/–
> к вам в квартиру кто-то ключи подбирает вы получите уведомление от соседей или с камеры скажите мамкины жулики? Все это преступные действия Я не знаток УК, но что-то мне подсказывает, что попытка открыть чужой замок не наказуема. Успешная попытка может быть наказуема, и то стоило бы проверить, есть ли в этом состав преступления. > по факту это попытки взлома и добычи информации Это уже не факты, это предположения о мотивах двигающих тем, кто запустил брутфорс. Реально в суде тебе придётся ещё попыхтеть, доказывая, что мотивом был незаконный доступ к информации. Вот приведёшь ты его в суд, а он скажет суду, что забыл пароль к своей vps, а долбился на чужую, потому что адрес попутал. И доказывай после этого, что на самом деле он намеренно пытался влезть на чужую, чтобы туда майнер поставить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #69

53. Сообщение от topin89 (ok), 05-Сен-20, 15:39	+1 +/–
Эх да, мудрить любят. Вспоминаю, как один один знакомый просил перебрать пароль от какого-то архива с ценной хренью для Volkswagen. Я думал, что это нереально, пароль наверняка символов двадцать со всеми доступными символами. Друг думал, продавец идиот и пароль будет чисто цифровой и короткий. Друг был прав, там было семь цифр. Минут двадцать в Advanced RAR password recovery хватило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

54. Сообщение от Аноним (54), 05-Сен-20, 15:50	+4 +/–
>Строго на 22-ой порт ломятся, видимо, самые тупые скрипт-киддисы. С чего ты взял, что они тупые? Их задача -- поиметь как можно больше хостов, а не поиметь именно твой лично хост. Если ты перевесил ssh на другой порт, то на тебя просто не стоит тратить время.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #73

55. Сообщение от Аноним (55), 05-Сен-20, 16:03	+1 +/–
От приступов паранойи лучше пить таблетки, настройка fail2ban помогает лишь на какое-то, не слишком продолжительное, время...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #132

56. Сообщение от Корец (?), 05-Сен-20, 16:18	–1 +/–
А могут ли перебрать ключ? (Не пароль, а именно ключ)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #134, #157

57. Сообщение от Odalist (?), 05-Сен-20, 16:18	+2 +/–
Шигорян, я смотрю - вы не очень глубоко прониклись философией юникс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

58. Сообщение от topin89 (ok), 05-Сен-20, 16:21	–1 +/–
Да это тоже неплохой вариант. Или реально четыре радномных слова, типа "Correct Horse Battery Staple", которые, как верно подметил xkcd, легко запомнить (до сих пор ведь помню) и сложно перебирать. https://xkcd.ru/936/ Если очень хочется чистого рандома, запоминаешь два пароля и создаёшь третий методом одноразовых блокнотов (шифром Вернема). Воспроизвести без софта сложно, но вполне реально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

59. Сообщение от topin89 (ok), 05-Сен-20, 16:26	+/–
А чем тогда? Mosh конечно неплох, но клиентов маловато
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #168

60. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:26	–1 +/–
Да зачем nmap'ом? Для таких вещей есть zmap, который позволяет по конкретному порту хоть весь диапазон IPv4 просканить за несколько часов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #72

61. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:29	+2 +/–
Слушай, ну вот у меня домашний провайдер выдает /56, то есть 4722366482869646000000 адресов. Ты там как быстро что-то насканируешь? Практика перехода для ssh на IPv6-only показывает, что в auth.log за несколько лет не появлялось попыток ботов постучать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #98

62. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:30	–1 +/–
> Плюс то что порт был изменен повышает шансы что ssh работает через ключи Понижает. Потому что порт обычно меняют мамкины хацкеры прочитав об этом в каком-нибудь бложике, а ключи для вас слишком сложны уже
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #80

63. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:31	+3 +/–
Тебе нужно перебрать не ключ, а пару ключей. Ну можно, наверное. Думаю за три-четыре возраста Вселенной справишься :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #87

64. Сообщение от flkghdfgklh (?), 05-Сен-20, 16:33	–1 +/–
Какие хостинг-провайдеры меняют? Что ты несешь вообще? Про смену порта для ssh в бложиках и на форумах пишут мамкины хацкеры
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #78, #82

65. Сообщение от Аноним (65), 05-Сен-20, 16:34	+1 +/–
В слепую печатаются только самые популярные буквы. А рандомные цифры у меня иногда даже совпадали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

66. Сообщение от suffix (ok), 05-Сен-20, 16:58	+2 +/–
Авторизация по ключу и всё-равно ломятся пароль подбирать :( За две недели: fail2ban-client status sshd                                   Status for the jail: sshd |- Filter |  |- Currently failed: 1 |  |- Total failed:     12823 |  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd `- Actions    |- Currently banned: 172    |- Total banned:     1050
Ответить | Правка | Наверх | Cообщить модератору

67. Сообщение от z (??), 05-Сен-20, 16:59	+/–
Очень помогает fwknop.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

68. Сообщение от Аноним (68), 05-Сен-20, 17:00	–1 +/–
Помогите подобрать пароль для выхода из детского режима тв приставки. 4 символа.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84, #91, #101, #160

69. Сообщение от Lex (??), 05-Сен-20, 17:01	+2 +/–
«Попытка» - это иными словами  «покушение на [название действие]». В случае с замком жилища - покушение на: незаконное проникновение ( 139 ук ), кражу (ч.3 ст.158 ук ), разбой/грабеж (162/161 ук ) если преступники считали, что кто-то был дома. Но зависит от множества обстоятельств, а то подобным образом можно и чужой карман с кошельком «случайно» со своим перепутать..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

70. Сообщение от olan (?), 05-Сен-20, 17:07	+4 +/–
Ну как вспомнишь, напиши
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

71. Сообщение от Аноним (65), 05-Сен-20, 17:08	–3 +/–
У меня на локалхосте пароль 3. Убунта позволяла создать при установке. Но теперь, если поменять, то уже passwd не даст такой простой создать. Разве что его пропатчить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #86, #121

72. Сообщение от Аноним (22), 05-Сен-20, 17:18	+1 +/–
nmap'ом можно по всем 65535 портам пройтись
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #85, #102

73. Сообщение от Аноним (22), 05-Сен-20, 17:19	+/–
То, что ты перевесил ssh на другой порт - не гарантия того, что ты не отключил парольную аутентификацию ;) Так что можно было бы поиметь ещё больше хостов, сканя все порты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #88, #115

74. Сообщение от Аноним (74), 05-Сен-20, 17:32	+5 +/–
А как насчёт использовать port-knocking?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #79

75. Сообщение от Аноним (74), 05-Сен-20, 17:35	+5 +/–
В облаках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #104

76. Сообщение от totp (?), 05-Сен-20, 17:39	+/–
Модно использовать пароль+TOTP(RFC 6238) и сначала нужно спрашивать totp а потом пароль. SSH ключи нинужны твердо и четко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

77. Сообщение от edo (ok), 05-Сен-20, 17:42	+3 +/–
> А вот переход ssh на IPv6-only … добавит кучу проблем. У меня резервный оператор дома не предлагает ipv6, сотовый оператор не предлагает, в офисе никакого ipv6, и т.д., и т.п.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

78. Сообщение от Аноним (81), 05-Сен-20, 17:44	+/–
Те провайдеры на которых домохозяйки хостят, я не про VPS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

79. Сообщение от Аноним (22), 05-Сен-20, 17:48	+1 +/–
Security by obscurity. Лишний геморрой, а по факту - сильно безопасность не повышает. Намного лучше и проще поставить авторизацию по ключу, полностью отключить парольную авторизацию и держать SSH открытым. И уже не болит голова насчёт брутфорсеров. Если кто-то захочет брутить - на здоровье). А парольная аутентификация + port knocking это такая же несекурная парольная авторизация, просто хитро прикрытая фаерволом и вундервафлей, открывающей порт. Да и демоны для port knocking, в отличие от самого sshd не проходят аудит безопасности, а мне его надо крутить от рута, чтобы он мог пинать iptables :). А ещё на другой стороне нужен клиент, который будет пинать порты в нужном порядке. В общем, не так уж сложно - сделать пару ключей для авторизации. И конфигурится легко и быстро, в отличие от боли со всякими fail2ban и port knocker'ами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #83, #99, #111

80. Сообщение от Аноним (81), 05-Сен-20, 17:48	+3 +/–
В ключи тоже умеем, бложики для мамкиных кулхацкеров советует и ключики тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

81. Сообщение от Аноним (81), 05-Сен-20, 17:52	+3 +/–
И вот этих тупых киддисов процентов 50%, в современном инете до сих пор и виагрой спамят если что. Очень даже динозавры водятся. Поэтому порт лучше всё-таки поменять, меньше срача в логи да и боты быстрее отставать будут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #95

82. Сообщение от Michael Shigorin (ok), 05-Сен-20, 17:56	+/–
> Про смену порта для ssh в бложиках и на форумах пишут мамкины хацкеры А про ключи -- так вообще барбершопщики? :) Ну головой-то подумать попробуйте, явно же есть, когда по техчасти пишете.  Включите "атакующего" и подумайте. Порт _входит_ в пространство поиска, если узкий диапазон адресов/портов не известен заранее.  И да, ни разу не панацея, но всё-таки снижение интенсивности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #110

83. Сообщение от Michael Shigorin (ok), 05-Сен-20, 17:58	+/–
> Да и демоны для port knocking, в отличие от самого sshd > не проходят аудит безопасности zeroflux'овский читали вроде, но зуб не дам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

84. Сообщение от Michael Shigorin (ok), 05-Сен-20, 18:05	+/–
> Помогите подобрать пароль для выхода из детского режима тв приставки. > 4 символа. Начните с 0000.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

85. Сообщение от flkghdfgklh (?), 05-Сен-20, 18:05	+/–
Сколько у тебя времени займет пройтись nmap'ом по всем портам хотя бы /24?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #94

86. Сообщение от Аноним (3), 05-Сен-20, 18:34	+/–
Столкнулся с такой же ситуацией в Linux Mint Вот баг https://github.com/linuxmint/cinnamon/issues/9291
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #92

87. Сообщение от Корец (?), 05-Сен-20, 18:51	–1 +/–
Не мне нужно. Я просто когда в гугле этот вопрос задаю, то гугл толком ничего не отвечает. Поэтому решил спросить тут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

88. Сообщение от Аноним (54), 05-Сен-20, 18:56	+3 +/–
>То, что ты перевесил ssh на другой порт - не гарантия того, что ты не отключил парольную аутентификацию ;) Нет, но тот факт, что ты перевесил ssh, как минимум означает что у тебя не дефолтный конфиг. >Так что можно было бы поиметь ещё больше хостов, сканя все порты. Вопрос трудозатрат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

89. Сообщение от Аноним (89), 05-Сен-20, 19:10	+/–
fail2ban это отвратительно, лучше без питона sshguard.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #90, #93, #124

90. Сообщение от Аноним (89), 05-Сен-20, 19:17	+/–
Хотя на верхнем уровне у меня вход по белому списку, sshguard не помешает от вылета fw.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

91. Сообщение от Аноним (44), 05-Сен-20, 19:19	+2 +/–
> 4 символа. По вертикали или по горизонтали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #122

92. Сообщение от Аноним (65), 05-Сен-20, 19:31	+/–
Ответный комментарий там забавный. Если бы они заботились о безопасности, то не разрешали бы создавать простой пароль уже при установке. К счастью, это не так. passwd позволит задать 123, а вот 1 уже нет. По моему, в SUSE можно любой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

93. Сообщение от suffix (ok), 05-Сен-20, 19:51	+1 +/–
1. fail2ban работает не только с ssh ! И с exim и с dovecot и с mod_security и т.д. 2. fail2ban 0.11 с прогрессивным баном дюже хорош!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #107, #108, #109

94. Сообщение от FixingGunsInAir (ok), 05-Сен-20, 19:55	+/–
Минут 10-15. Был подобный опыт, правда я сканил удалённый объект внутри копроративной сети на предмет клиентских тачек, не заведённых в домен. Скорость доступа - 10 мегабит максимум. А сколько можно на 100 мегабитах насканить? Ммм...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

95. Сообщение от FixingGunsInAir (ok), 05-Сен-20, 19:57	+2 +/–
Тогда может fail2ban настроить? Больше толку будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #123

96. Сообщение от Odalist (?), 05-Сен-20, 19:58	+2 +/–
>Логин    Пароль Odalist Odalist - и хрен догадаешься, малолетний хакер!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

97. Сообщение от FixingGunsInAir (ok), 05-Сен-20, 20:04	+/–
Огонь А смысл такой отаки? Чисто из вредности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #100

98. Сообщение от OpenEcho (?), 05-Сен-20, 20:06	+2 +/–
> Слушай, ну вот у меня домашний провайдер выдает /56, то есть 4722366482869646000000 > адресов. Ты там как быстро что-то насканируешь? Во первых я не думаю что кому-тo нужны домашние сетки с ССШ. (Но если кому и надо, то блоки из резидентиал ипшек регулярно обновляются провайдерами в PBL листах) Во вторых, проведите экспырыментус, попытайтесь в выданной вам /56 сети поставить ипишник выше чем /64 (между /56 и /64) и посмотрите если вы можете куда либо выйти в сеть. Если да, то вам повезло, т.к. большинство провайдеров на самом деле в реальности не маршрутизируют выше чем /64 В третьих, если клиенты получают айпишки через ДХЦП провайдера, гляньте диапозон в каком выдаются адреса. Может SLAAC ? Ну так там пол адреса состоит из МАС, где первые три байта это вендор из OUI В OVH так вообще выдают /128 Хорошо спрятались? > Практика перехода для ssh на IPv6-only показывает, что в auth.log за несколько > лет не появлялось попыток ботов постучать Видимо у нас разные ресурсы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #138

99. Сообщение от glebiao (ok), 05-Сен-20, 20:16	+2 +/–
>Security by obscurity. Лишний геморрой, а по факту - сильно безопасность не повышает. не скажи. хитрая последователность пингов для открытия портов (средствами iptables) + популярные китайские сети в списке на drop (средствами ipset) => абсолютно чистые логи. очень способствует душевному равновесию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

100. Сообщение от timur.davletshin (ok), 05-Сен-20, 20:17	+/–
> Огонь > А смысл такой отаки? Чисто из вредности? Отказ в обслуживании классический. Притом, принципиально неустранимый для уже имеющихся ключей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

101. Сообщение от СеменСеменыч777 (?), 05-Сен-20, 20:20	+1 +/–
смотри порно в i2p со смартфона. все дноклассники так делают. а приставку ну её нафиг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

102. Сообщение от Аноним (102), 05-Сен-20, 21:21	+/–
На каком из них вас отправят гулять?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

103. Сообщение от Dimitriy Reznitskiy (?), 05-Сен-20, 22:01	+1 +/–
там второй лесс по ошибке, ибо сначала одно, потом второе через конвеер, потом треть, ипросто ctrl+w не нажалось. А так, по-старинке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #133

104. Сообщение от ключ на 32 (?), 05-Сен-20, 22:35	+/–
В приватных облаках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

105. Сообщение от ключ на 32 (?), 05-Сен-20, 22:39	–2 +/–
Вот именно потому что проверенные - их никто уже и не использует. Как и md5 в passwd, как и SSL 3.0 с TLS 1.0, как и много чего еще другого "проверенного".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

106. Сообщение от Аноним (106), 05-Сен-20, 23:29	+2 +/–
Ну, забаненые адреса можно через определённый тайминг вычищать из чёрного списка, например через месяц. Всё равно либо атакующий забудет о вашем существовании, либо бот перестанет существовать. Социальная реклама: Каждый день тысячи сервисов банят IP-адреса и оставляют их навсегда в списках. Адресов каждый день становится меньше, но люди ещё быстрее уничтожают диапазон адресов, просто внося их в бан-лист. Пожалуйста, позаботьтесь о будущем интернета! Очищайте чёрные списки IP!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

107. Сообщение от Аноним (89), 06-Сен-20, 00:29	+/–
Питон отвратительно! Файлы логов читает с задержкой, свапает в цикле контекст. Микролаги!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

108. Сообщение от Аноним (89), 06-Сен-20, 00:31	+2 +/–
sshguard работает не только с логамм ssh, но и с exim, postfix, exim, dovecot и другим. Читай сорцы их парсера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

109. Сообщение от Аноним (89), 06-Сен-20, 00:32	+1 +/–
Прогрессивный бан есть не только в fail2ban.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

110. Сообщение от пп (?), 06-Сен-20, 03:43	+/–
Этого товарища за спутник бы засунуть на годик, он бы научился трафик экономить))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

111. Сообщение от n242name (?), 06-Сен-20, 04:37	–1 +/–
единственный здоровый коментарий в этой ветке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

112. Сообщение от n242name (?), 06-Сен-20, 04:47	+1 +/–
< /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c${1:-24};echo;
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

113. Сообщение от BrainFucker (ok), 06-Сен-20, 07:52	+/–
> И как потом эту хрень запомнить? Не проще ли взять первую попавшуюся под руку книгу и выписать оттуда какое-то предложение: Не проще, при десятках аккаунтов без записывания начинаешь забывать те что не каждый день используются. Использую эту тулзу: https://github.com/rekcufniarb/pswrd#readme Ничего не хранит ни на дисках, ни в облаках, не надо таскать базу между устройствами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #166

114. Сообщение от onanim (?), 06-Сен-20, 09:46	+1 +/–
но почему-то не пытаются брутить мир на эти пароли. отсюда у меня два предположения: - или китайцы на "свои" роутеры заходят через другие бэкдоры, не через дефолтный пароль - или с китайских диапазонов брутят не китайцы. вот это мне кажется более вероятным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

115. Сообщение от Alex (??), 06-Сен-20, 11:11	+2 +/–
Если посмотреть по паролями то целевая аудитория криворукие админы. Если у человека хватитило ума поменять ssh порт значит он как минимум понимает что ведутся атаки, значит тупой пароль он уже не поставит. Процент попадания на профана в в таких ситуациях стремится к 0. Вот и не тратят время. Атаки идут по дефолтным значениям.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #146

116. Сообщение от Сейд (ok), 06-Сен-20, 12:00	+1 +/–
https://security.etnetera.cz/feeds/etn_aggressive.rules https://security.etnetera.cz/feeds/etn_aggressive.txt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

117. Сообщение от mos87 (ok), 06-Сен-20, 12:14	+2 +/–
> cat /var/log/secure | grep >Да итижи пассатижи сколько раз твердили миру...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

118. Сообщение от mos87 (ok), 06-Сен-20, 12:15	+/–
и такие пассы руками делает...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

119. Сообщение от mos87 (ok), 06-Сен-20, 12:22	+/–
>все стандартные порты в хонейпот, ссш порт хрен знает где, для того чтобы до него достучаться нужен port knocking из нескольких стадий, переборы портов с дикими даунтаймами, ну и еще по мелочи... посоны тут скрипт-кидди который ваши пароли брутфорсит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

120. Сообщение от Аноним (120), 06-Сен-20, 12:30	+/–
В строке root без пароля это уже взломанные хосты со своим ключом?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #125, #142

121. Сообщение от w0sian (?), 06-Сен-20, 12:32	+/–
perl -e 'print crypt("3", "aa")'
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

122. Сообщение от mos87 (ok), 06-Сен-20, 12:37	+1 +/–
А пальцы как ставить - вертикально или горизонтально? Если даже вертикально, то у Кузьмича толще будут. (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

123. Сообщение от Всем Анонимам Аноним (?), 06-Сен-20, 13:46	+1 +/–
Сканы идут с тысяч адресов. Конечно, бан поможет немного, но не панацея. Они не пробуют с того же IP сразу же. Я вижу похожую картину со сканами POP3 и SMTP AUTH. Помогает только постоянная блокировка этих IP. В fail2ban в этом плане опасно постоянно блокировать что-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

124. Сообщение от flkghdfgklh (?), 06-Сен-20, 14:07	+/–
Есть какие-то причины, помимо религиозных, по которым бы стоило променять работающий у меня 15 лет fail2ban который я прекрасно знаю на sshguard? Какие-то фичи которые могли бы заинтересовать? Если что у меня fail2ban используется не только для логов ssh'а, но, к примеру, для логов nginx'а для бана особо буйных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #126

125. Сообщение от Аноним (127), 06-Сен-20, 14:17	+1 +/–
Honeypot и misconfiguration
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #145

126. Сообщение от Сейд (ok), 06-Сен-20, 14:30	+1 +/–
Я предпочитаю Suricata главным образом из-за её интеграции с панелями управления.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #127, #128

127. Сообщение от Аноним (127), 06-Сен-20, 14:55	+/–
osquery тоже что-то умеет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

128. Сообщение от Аноним (127), 06-Сен-20, 14:57	+/–
ossec?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #147

130. Сообщение от sabitov (ok), 06-Сен-20, 17:28	+/–
Господа соучастники, а что мешает прописать в sshd_config опцию AllowUsers? И если имена юзеров хоть чуть-чуть отличаются от admin|root|manager, то и пусть оно брутфорсит...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #131

131. Сообщение от Michael Shigorin (ok), 06-Сен-20, 17:54	+/–
> Господа соучастники, а что мешает прописать в sshd_config опцию AllowUsers? Лень -- это лазить на каждого такого пользователя в sshd_config, нигде не промахнуться, не забыть service sshd reload... А вот для AllowGroups в альте "домашняя заготовка есть": http://git.altlinux.org/gears/o/openssh.git?p=openssh.git;a=... Как, собственно, и для sshd-password-auth; так что достаточно сделать один раз: control sshd-allow-groups enabled control sshd-password-auth disabled service sshd reload ...и для нужных пользователей выполнять gpasswd -a $LOGIN users (ну или какую укажешь в sshd_config). А при желании зафиксировать такое поведение во вновь создаваемых образах -- например, шаблонах контейнеров -- можно в mkimage-profiles сказать:     @$(call add,CONTROL,sshd-allow-groups:enabled)     @$(call add,CONTROL,sshd-password-auth:disabled) ...и добавить в зависимости такой цели use/control (или сразу use/control/server/ldv). Если понравилось -- см. тж. http://altlinux.org/control и http://altlinux.org/m-p ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

132. Сообщение от Аноним (-), 06-Сен-20, 17:56	+/–
погодите таблетки, socat на сервере с поднятием одноразового ssh на свободный порт и на клиенте для перенаправления на нужный порт - первое что пришло в голову
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

133. Сообщение от Michael Shigorin (ok), 06-Сен-20, 17:58	–1 +/–
> просто ctrl+w не нажалось Раз уж за readline: относительно недавно ввёл в быт Alt-. (история по последнему аргументу) и Alt-d (удалить слово вправо, с Alt-b/Alt-f хорошо сочетается обычно).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

134. Сообщение от Аноним (44), 06-Сен-20, 18:53	+1 +/–
В ключе в среднем 2048 бит (256 произвольных байт), в пароле в среднем 10 байт из подмножества печатаемых символов ASCII. Вот и считай. Если не в курсе, зависимость времени перебора от длины — экспоненциальная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

135. Сообщение от d (??), 06-Сен-20, 21:08	+/–
И что -A? Ключ-то где хранить, если гонять трафик между серверами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

137. Сообщение от n00by (ok), 07-Сен-20, 12:39	+/–
> в школе не проходили?   > Ну спасибо Рейману скажите... Сказали... — Офсайт взломан! Вместо него казино вулкан 🤣. Ни с винды, ни с линукса, ни один браузер не пускает. Стоит хорошо подумать прежде чем ставить ПО от НТЦРОСА. — Кто-то же должен спонсировать разработку. Что проще, как не вулкан порекламить чутка🤣🤣🤣 https://vk.com/wall-33847957_316831 — Здравствуйте у меня вопрос, а что стало с сайтом Росы? перебрасывает на какой то левый сайт — боты взломали https://vk.com/wall-33847957_316821
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

138. Сообщение от Аноним (138), 07-Сен-20, 12:46	+/–
> Во первых я не думаю что кому-тo нужны домашние сетки с ССШ. Взлом домашних роутеров, других домашних IoT устройств и построение на их основе ботнета — это же одна из классических целей скана ssh.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #141, #153

139. Сообщение от пох. (?), 07-Сен-20, 15:05	+/–
Ну, похоже мой test 12345 неуязвим! (странно, почему они думают, что такой пароль бывает только у рута? Он, конечно, такой и есть, ведь очень удобно когда модная-современная почти уже готовая для десктопа система предлагает "поставить такой же", одной галочкой, но, вроде бы, удаленный логин рутом нынче несколько затруднен?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

140. Сообщение от пох. (?), 07-Сен-20, 15:09	+1 +/–
Ну, и? Чего темнить-то, назвал бы какие. А то те кто не в теме, теперь же ж спать не будут, пытаясь угадать - там root:12345 или все же test:test ? P.S. кстати, странно что нет odroid в списках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #148

141. Сообщение от пох. (?), 07-Сен-20, 15:12	+1 +/–
а вот такой ботнет в v6 нафиг никому, действительно, не нужен. Потому что поддосить или поспамить с него можно только точно такие же шибкоумные холодильники. Поэтому неуловимый джо пока что неуловим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

142. Сообщение от пох. (?), 07-Сен-20, 15:14	–1 +/–
тоже непонятно, что это за фигня. С пустым паролем авторизация ж невозможна? Или боты об этом не знают? (это ж _подбираемые_, а не успешно подобранные)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #143

143. Сообщение от Аноним (127), 07-Сен-20, 15:43	+/–
PermitEmptyPasswords yes
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142 Ответы: #144

144. Сообщение от пох. (?), 07-Сен-20, 15:57	+2 +/–
Ура, теперь мне вообще не надо набирать пароль!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #150

145. Сообщение от пох. (?), 07-Сен-20, 16:47	+/–
или таки находятся индивидуумы, достаточно продвинутые чтобы на самом деле разрешить рутовую (!) впрочем, это за них, помнится, делала rh, авторизацию без пароля вообще. Я поражаюсь изобретательности этих людей!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

146. Сообщение от Аноним (146), 07-Сен-20, 18:05	+/–
Перенос на другой порт никак не повышает уровень безопасности. Кем вы там себя считаете, опытным или нет - тоже. Уверен, что есть роботы, которые обходят наиболее часто встречаемые порты, на которых висит SSH, кроме дефолтного. 122, 222, 2222, 9022 и так далее, подставьте свой вариант. Такие хосты даже вкуснее обычных. На 22 порту полно хостов, у которых настроены ключи и выключены пароли. Зато у сменивших порт скорее всего оставлен пароль. То есть по факту шанс сбрутить выше в пересчете на общее количество. Серьезной защитой является доступ к SSH для белого списка IP-адресов (желательно, чтобы сервер при этом висел на IPv6). И конечно же только ключи. Но это же целых три копейки в месяц платить надо за дополнительный сервер и с винды подключаться неудобно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

147. Сообщение от Сейд (ok), 07-Сен-20, 21:30	+/–
Osquery и OSSEC нет в репозиториях Fedora, а ещё Suricata - система не только обнаружения вторжений, но и предотвращения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #149

148. Сообщение от onanim (?), 07-Сен-20, 22:11	+/–
отнюдь не 12345, а захардкоденные "инженерные" пароли. кому надо, сам найдёт :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

149. Сообщение от Аноним (149), 07-Сен-20, 23:01	+/–
Чем Suricata лучше отечественных DLP-систем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #151

150. Сообщение от Аноним (149), 07-Сен-20, 23:08	+/–
Тебе зачем капузёр? работать нужно! а не бить по клавиатуре как обезьяна!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #155

151. Сообщение от Сейд (ok), 08-Сен-20, 01:21	+/–
Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных. Для меня Suricata лучше тем, что абсолютно бесплатна. Но именно предотвращение утечек информации в ней реализовано на базовом уровне вроде политик идентификации номеров кредитных карт и социального страхования. Суть здесь в защите от внешних атак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

152. Сообщение от n242name (?), 08-Сен-20, 01:30	–1 +/–
> Лучше несколько простых слов с парой спецсимволов, чем 6-8 кракозябр. не лучше, энтропия будет меньше чем у какого-нибудь 12-символьного рандомного пароля только если слова будут не из общеупотребительного словоря и их будет миниум штуки 4, а не 2 как вы предлагаете... таким образом лучше запомнить звучный, но случайный пароль
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

153. Сообщение от OpenEcho (?), 08-Сен-20, 09:10	+/–
> Взлом домашних роутеров, других домашних IoT устройств и построение на их основе > ботнета — это же одна из классических целей скана ssh. Как много вы знаете мыльниц роутеров с работающим по умолчанию ССШ? ИоТ тоже нет смысла голым задом светить в интернет для всех, они все в основном подключаются к родному дому сами и поэтому производителю нафиг не надо их искать, сами позвонят домой, как только наивные люди выпустят чудо в интернет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

154. Сообщение от Брат Анон (?), 08-Сен-20, 09:35	–1 +/–
Пароль, который можно запомнить -- плохой пароль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

155. Сообщение от пох. (?), 08-Сен-20, 10:04	–1 +/–
> Тебе зачем капузёр? работать нужно! вот именно! А там вместо чтоб просто дать работать - какие-то пароли-шмароли, вечно ищи эту отвалившуюся бумажку с монитора, и хрен еще ж наберешь тот бред что на ней написан (вчера, кстати, пришлось - хорошо хоть, нашел).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #159

156. Сообщение от Anonimous (?), 08-Сен-20, 15:01	+/–
DynDNS и готово.
Ответить | Правка | Наверх | Cообщить модератору

157. Сообщение от Аноним (157), 08-Сен-20, 15:40	+/–
основное занудство с ключами это их учётная генерация, хранение, отзыв. учесть все факты копирования ключевой информации без специального менеджмента сложно. у обычного админзащиты ключи лежали в железном сейфе, как понимаете, тоже закрытым на ключ. и когда он уходил скважина иногда поскрипывала. когда парсят пабликдату на предмет ключа, имеется контекстная связь между ключём и сервером и перебирать сами ключи не придётся. сам ключ обычно защищён паролем что несколько усложняет жизнь. но в чём-то вы правы, иногда ключ на ssh бывает слабее пароля. вообще, вместо постоянного наблюдения за ростом неудачных попыток достаточно один раз получить уведомление о успешном входе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #158

158. Сообщение от Аноним (-), 08-Сен-20, 16:06	+/–
ах да, совсем необязателен правильный ключ, иногда достаточно "неправильного" в нужном месте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157

159. Сообщение от Аноним (-), 08-Сен-20, 16:24	+/–
пароль легче сохранить, чем ключи, рфиды и прочие сущности. пароли всё ещё стандарт, за которым только биометрия и чипизация. доступ без учётных данных есть у всех анонимов и обычно он заканчивается на границе социальных процессов с вовлечёнными группами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #161

160. Сообщение от Аноним (-), 08-Сен-20, 17:09	+/–
этот пароль, вероятно, вводят каждый день, интересное дело перехватить(ретранслировать, 2й приемник, повторить без расшифровки) ик-сигнал от пульта, более занимательно чем результат. по пульту узнать протокол. командные импульсы модулированные несущей. для RC5 "The command data is a Manchester coded bitstream modulating a 36 kHz carrier" "Сигнал пульта состоит из командных импульсов, заполненных импульсами высокой частоты (27-50(60?) кГц у разных систем)" https://metager.org/meta/meta.ger3?eingabe=перехват+ик-сигнала+от+пульта Linux infrared remote control, GNU Radio, SDR.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

161. Сообщение от пох. (?), 08-Сен-20, 23:35	–1 +/–
> пароль легче сохранить один - да. А когда их стоодин, и желательно хоть часть иметь разные - и ты уныло выдумываешь стовторой - "таак... 12345 был, qazxsw2 был, Е6ать314здецкакойнадежныйпароль не помещается в ldap schema... да ну вас нафиг, 098765 будет". А через неделю/две/год пытаешься вспомнить - 67890? Не, не то. 456789? Да блин, что за нахрен, где листок-то?! А вот связку ключей от квартиры ты когда прошлый раз терял?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #162, #163, #164

162. Сообщение от Аноним (-), 09-Сен-20, 11:24	+/–
- один - да. А когда их стоодин написать невзрачный листок совсем непохожий на список - и ты уныло выдумываешь стовторой малоформатная книжка, путеводитель по провинциальной галерее затёртого года или имитация, библия - А вот связку ключей от квартиры ты когда прошлый раз терял? достаточно потерять за ней контроль, уснуть, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

163. Сообщение от Аноним (163), 09-Сен-20, 11:59	+/–
специальные камеры, даже смарт рядом со связкой вполне атака на обычный ключ, а электронный ключ все равно с паролем, все равно выгружается, сложность даёт возможность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

164. Сообщение от Аноним (164), 09-Сен-20, 12:20	+/–
keepassx а я сейчас думаю про rutoken. есть парочка ключей, можно сделать вход по рутокену
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #165

165. Сообщение от Аноним (-), 10-Сен-20, 11:54	+/–
> keepassx молоком из горбушки винтажнее, вместо утюга можно лазерник, так уж и быть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164

166. Сообщение от dstwo (?), 16-Сен-20, 12:10	+/–
Поздравляю, md5-хэш из адреса сайта. Никто никогда не догадается и тем более не сможет повторить...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #167

167. Сообщение от BrainFucker (ok), 16-Сен-20, 18:44	+/–
> Никто никогда не догадается и тем более не сможет повторить... Конечно, ведь хеш солёный мастер паролем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

168. Сообщение от mr.Clin (?), 06-Окт-20, 17:39	+/–
А поверх чего он по твоему работает? ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема