Fórum Root.cz
Hlavní témata => Server => Téma založeno: creatura 18. 04. 2019, 20:30:07
-
Ahoj, všude čtu, že FTP by se nemělo používat protože hrozí přečtení hesla odesílaného v textovém formátu. FTP je bezpečné pro server, ale teoreticky nebezpečné pro data. Dobře. přečetl jsem článek https://www.root.cz/clanky/jak-nahradit-ftp-pomoci-sftp-a-zamknout-uzivatele/ kde se pojednává o náhradě pomocí SFTP. Přečetl jsem a nastavil.
Ale použitím SFTP vystrčím do internetu port 22. Ve všech fórech se zmiňuje jen problém s bruteforce attakem který řeší silná hesla, a vím, že mohu nastavit před sdílené klíče které situaci ještě vylepší.
Moje otázka je, zda je opravdu bezpečné vystavit SSH port 22 do internetu a co by se mělo pohlídat aby nevznikl nějaký bezpečnostní problém?
Předem dík
-
FTP over SSL nebo SFTP je podle meho nazoru rovnocenne z hlediska nebezpeci odposlechu hesla
Obecne je dobre tyto sluzby oddelit, SSH (SFTP) pro roota a FTP over SSL pro bezne usery
Urcite ale SSH s klicem, ne s heslem
-
Moje otázka je, zda je opravdu bezpečné vystavit SSH port 22 do internetu a co by se mělo pohlídat aby nevznikl nějaký bezpečnostní problém?
Nedávno se to tu dlouze řešilo (https://forum.root.cz/index.php?topic=21022.0).
Je to bezpečné, pokud zajistíte:
- Aktualizovaný software, který to ovlivňuje (jádro, SSH server a knihovny, které server používá).
- Používat bezpečné, tj. především aktuální, protokoly a algoritmy.
- Povolit přihlášení pouze klíčem (čímž se zbavíte problémů se slabými hesly).
- Držet klíč v tajnosti, používat rozumně dlouhý klíč.
-
A jeste jsi zapomnel:
Pokud jste paranoidni, tak schovat vse do VPN (OpenVPN)
-
Jen jsem zapomnel na jednu vec:
Pokud neches, aby ti trvale nekdo busil na porty SSH a FTP, tak se vyplati nasadit i fail2ban
-
Pokud neches, aby ti trvale nekdo busil na porty SSH a FTP, tak se vyplati nasadit i fail2ban
…který ovšem „bušení na porty“ (tedy pokusům o navázání spojení) nijak nezabrání.
-
Pokud neches, aby ti trvale nekdo busil na porty SSH a FTP, tak se vyplati nasadit i fail2ban
…který ovšem „bušení na porty“ (tedy pokusům o navázání spojení) nijak nezabrání.
A co si tak treba o fail2ban alespon precist manualovou stranku?
fail2ban - a set of server and client programs to limit brute force authentication attempts.
-
A co si tak treba o fail2ban alespon precist manualovou stranku?
fail2ban - a set of server and client programs to limit brute force authentication attempts.
Vy jste nepoučitelný. Přečetl jste si to, co jste zkopíroval? Umíte si přeložit, že „authentication attempts“ znamená např. „pokusy o autentizaci“? V jakém světě „bušení na porty“ v kontextu síťové komunikace znamená „pokusy o autentizaci“?
Pro vaši informaci, fail2ban obvykle zmaří opakované pokusy o navázání spojení, protože po několika neúspěšných pokusech na firewallu na daném zařízení zablokuje příslušnou zdrojovou IP adresu (což je výborné ve světě zamořeném NATy). Nezabrání ale tomu, aby paket zahajující spojení přišel. To by musel komunikaci zablokovat někde dřív, třeba na síťovém firewallu. Pak by útočník „nebušil na porty“ cílového serveru, ale jenom na síťový firewall.
fail2ban může ještě fungovat tak, že když se útočníkovi nepodaří vůbec navázat TCP/IP spojení, nebude to s dalším heslem už ani zkoušet. Což ovšem vyžaduje určitou inteligenci od útočníka, a inteligentní útočník nejspíš nebude ani zkoušet různá hesla, když server autentizaci heslem vůbec nepodporuje.
Každopádně fail2ban není bezpečnostní opatření, protože když bude mít útočník motivaci, může ta hesla zkoušet z různých IP adres, a fail2ban si pak ani neškrtne.
-
Velké části těhle otravných automatů se server zbaví i přehozením SSH na jiný port.
Od té doby co jsem to udělal, je log víceméně čistý.
Samozřejmě to nebrat jako náhradu jiných úrovní bezpečnosti.
-
A co si tak treba o fail2ban alespon precist manualovou stranku?
fail2ban - a set of server and client programs to limit brute force authentication attempts.
Vy jste nepoučitelný. Přečetl jste si to, co jste zkopíroval? Umíte si přeložit, že „authentication attempts“ znamená např. „pokusy o autentizaci“? V jakém světě „bušení na porty“ v kontextu síťové komunikace znamená „pokusy o autentizaci“?
Pro vaši informaci, fail2ban obvykle zmaří opakované pokusy o navázání spojení, protože po několika neúspěšných pokusech na firewallu na daném zařízení zablokuje příslušnou zdrojovou IP adresu (což je výborné ve světě zamořeném NATy). Nezabrání ale tomu, aby paket zahajující spojení přišel. To by musel komunikaci zablokovat někde dřív, třeba na síťovém firewallu. Pak by útočník „nebušil na porty“ cílového serveru, ale jenom na síťový firewall.
fail2ban může ještě fungovat tak, že když se útočníkovi nepodaří vůbec navázat TCP/IP spojení, nebude to s dalším heslem už ani zkoušet. Což ovšem vyžaduje určitou inteligenci od útočníka, a inteligentní útočník nejspíš nebude ani zkoušet různá hesla, když server autentizaci heslem vůbec nepodporuje.
Každopádně fail2ban není bezpečnostní opatření, protože když bude mít útočník motivaci, může ta hesla zkoušet z různých IP adres, a fail2ban si pak ani neškrtne.
Proc pisete stale dokola sve pravdy o necem, co evidentne nepouzivate a ani neznate
Zeme proste neni placata...
-
Proc pisete stale dokola sve pravdy o necem, co evidentne nepouzivate a ani neznate
Zeme proste neni placata...
Souhlas. Ty diskuze se pomalu nedají číst... chystám se na filtry do adblocku, které by některé přehnaně aktivní spisovatele skryly :)
-
zda je opravdu bezpečné vystavit SSH port 22 do internetu a co by se mělo pohlídat aby nevznikl nějaký bezpečnostní problém?
je. měl a mám takhle vystaveny desítky serverů.
Hesla zakázat, autentizace bezpečným klíčem.
To ti poskytne řádově vyšší bezpečnost než plaintext FTP.
-
Proc pisete stale dokola sve pravdy o necem, co evidentne nepouzivate a ani neznate
TBH, s fail2banem tady dlouhodobě tapetuješ fórum ty.
-
Proc pisete stale dokola sve pravdy o necem, co evidentne nepouzivate a ani neznate
TBH, s fail2banem tady dlouhodobě tapetuješ fórum ty.
Je rozdil opakovat to jako moznost a tapetovani p.Jirsaka ktere je napul teorie a napul demagogie, navic kdyz p.Jirsak pise hloupost/lez tak ani pak neuzna pravdu ale dale tapetuje nebo dela jako ze nic...
-
Jen se priprav na jednu vec, FTP je super lightweight, SFTP (powered by SSH subsystem) bude pomalejsi, doporucuju zkompilovat custom open-ssh extenzi https://www.psc.edu/hpn-ssh
Pozn: na Gentoo nahodis pomoci use flag..
-
ktere je napul teorie a napul demagogie … pise hloupost/lez
Můžete být konkrétní, co z toho, co jsem napsal v této diskusi, je napůl teorie a napůl demagogie nebo hloupost/lež?
-
Můžete být konkrétní, co z toho, co jsem napsal v této diskusi, je napůl teorie a napůl demagogie nebo hloupost/lež?
Treba mi zkus vysvetlit, proc je fail2ban spatny - bylo by to primosnejsi, nez mne neustale napadat za jeho doporuceni
-
Dovolím si odpovědět za pana Jirsáka. Otázka zní spíš opačně, k čemu je fail2ban dobrý? Pokud má zabránit prolomení hesla pomocí brute force, tak správné řešení je neumožnit to vůbec a umožnit přihlašování pouze pomocí klíčů. Pokud je nezbytně nutné někomu povolit přihlášení heslem, tak jedině z nějaké dané IP adresy. A nebo taky máme VPN. Takže existují správná řešení a potom existují špatná řešení, která se pořád někdo snaží pomocí různých nástrojů (pracovně jim říkám rovnák na vohejbák) učinit použitelnými.
-
FTP je super lightweight, SFTP (powered by SSH subsystem) bude pomalejsi
Tazatel mluví o "vystrčení portu do Internetu", takže podle všeho řeší přístup přes Internet. Opravdu si myslíte, že má tak rychlé připojení na Internet a tak pomalý procesor, aby ssh protokol způsobil viditelné zpomalení?
-
Dovolím si odpovědět za pana Jirsáka. Otázka zní spíš opačně, k čemu je fail2ban dobrý? Pokud má zabránit prolomení hesla pomocí brute force, tak správné řešení je neumožnit to vůbec a umožnit přihlašování pouze pomocí klíčů. Pokud je nezbytně nutné někomu povolit přihlášení heslem, tak jedině z nějaké dané IP adresy. A nebo taky máme VPN. Takže existují správná řešení a potom existují špatná řešení, která se pořád někdo snaží pomocí různých nástrojů (pracovně jim říkám rovnák na vohejbák) učinit použitelnými.
Dekuji za vysvetleni - priste jiz fail2ban nebudu pouzivat, a vse necham na ssh daemonovi, aby odmital pokusy o prihlaseni. Pochopil jsme to spravne?
A co treba FTP, IMAP, POP3, SMTPauth? Jak tam?
-
Dekuji za vysvetleni - priste jiz fail2ban nebudu pouzivat, a vse necham na ssh daemonovi, aby odmital pokusy o prihlaseni. Pochopil jsme to spravne?
Ano.
A co treba FTP, IMAP, POP3, SMTPauth? Jak tam?
Především nepoužívat nešifrované protokoly. O náhradě FTP bylo původně tohle téma, Mlho. Pro přístup k poštovní schránce použít IMAPS nebo přinejhorším POP3S. Pro předání e-mailů k odeslání poštovnímu serveru použít SubmissionS (dříve nazývané SMTPS).
Ve všech případech je potřeba používat silná hesla. Pokud si nemůžete být jist tím, že uživatelé používají dostatečně silná hesla, a nemáte páky k tomu to napravit, můžete použít mechanismy vestavěné v daném softwaru. Třeba Dovecot (pro IMAPS, POP3S a SubmissionS) umí používat autentizační politiky (https://wiki2.dovecot.org/Authentication/Policy), pomocí kterých si můžete nastavit jaká pravidla chcete. Pořád se to ale aplikuje v rámci té jedné aplikace, která rozumí daným protokolům a jejich workflow, zná existující uživatele a nezávisí to na parsování nestrukturovaných logů a provádění kódu pod právy roota.
-
Vy jste demagog. Bavíme se o bezpečnosti SFTP a Vy namícháte koktejl všech možných protokolů, abyste dosáhl aspoň částečného úspěchu. Takže zpět k tématu této diskuze. Pokud se bavíme o bezpečnosti, což je téma diskuze, tak je bezpečné řešení použít klíče. Pokud se budeme bavit o DDoS, pak je to naprosto jiné téma.
P.S.: Na kdyby se nehraje, ale kdyby všichni používali zabezpečenou komunikaci, pak by se boti o nic nepokoušeli, protože by bylo jasné, že nemají šanci na úspěch. Ale místo toho se tady budou pořád tlačit řešení typu fail2ban, blacklsit, greylist, Captcha, ..., na která nakonec dojíždí legitimní uživatel.
-
mě se osvědčilo pro SFTP:
- uživateli nastavit shell scponly (nemůže pak získat terminál)
- nastavit na něm v nastavení SSH jail/chroot a uvěznit ho tak (nemůže pak procházet adresáře kde by neměl vidět)
- nasadit fail2ban ( a klidně to nechat jen na heslo)
-
- nasadit fail2ban ( a klidně to nechat jen na heslo)
Přiznám se, že tohle fakt nechápu. Přihlášení klíčem je bezpečnější a podle mne i výrazně pohodlnější. Z hlediska konfigurace sshd je konfigurace přihlášení klíčem minimálně stejně snadná, jako konfigurace přihlášení heslem (takže nechápu to „nechat jen“ – jako kdyby to bylo snazší). A pak si to ještě komplikujete instalací a konfigurací fail2ban, který navíc zvyšuje riziko DoS a bezpečnostní rizika (vstup, který má pod kontrolou útočník, spolu s prováděním bezpečnostně citlivých akcí).
Stručně řečeno – vám to dá víc práce a pro uživatele je to méně komfortní. Přehlížím něco?
-
[...] SFTP [...] a klidně to nechat jen na heslo
nezavisle na cemkoliv, pro SSH/SFTP misto "nechat jen na heslo" => "nechat jen na klic"
teoreticky by bylo mozne mit "i na heslo", pokud by slo o lokalni sit (kde ale stejne hrozi utok zevnitr (i pro remote utocniky pres lokal sw))
a heslo mit ~15-20 znaku kombinaci male/velke/cisla/znaky, stale je ale vhodnejsi mit toto jako passhrase pro ssh klic a heslo mit pro ssh/sftp zakazene...
-
Nejsem uplnej deb.., pokud napisu IMAP, POP3, SMTPAuth tak predpokladam jejich sifrovane verze. Priste budu psat presneji, aby nedochazelo ke spatnemu vykladu
Prestanu pouzivat fail2ban, ktery neuspesne pokusy o prihlaseni po nekolika, pokusech "zarizne" na urovni iptables, ale nebudu to resit a pro kazde prihlaseni budu prislusnymi demony kontrolovat, zda byly zadany spravne prihlasovaci udaje
- Treba 1000 pokusu o neuspesne prihlaseni z jedne konkretni IP v definovanem casovem intervalu je OK, demon to prece vyresi a nic to nestoji
- "Zariznout" IP po nekolika malo neuspesnych pokusech o prihlaseni a demona tim neobtezovat je spatne
Clovek se stale uci, dekuji
-
FTP je super lightweight, SFTP (powered by SSH subsystem) bude pomalejsi
Tazatel mluví o "vystrčení portu do Internetu", takže podle všeho řeší přístup přes Internet. Opravdu si myslíte, že má tak rychlé připojení na Internet a tak pomalý procesor, aby ssh protokol způsobil viditelné zpomalení?
Prave ze ano, na lokalni siti jsou nizke latence, kdy SSH bude fachat temer naplno nekam do pul cca gigabitu, ale na internetove lince s vetsi latenci se SSH dostava do problemu, ktere HPN resi.
-
... pro kazde prihlaseni budu prislusnymi demony kontrolovat, zda byly zadany spravne prihlasovaci udaje
Nebudete kontrolovat, protože budete mít přihlašování klíčem.
-
... pro kazde prihlaseni budu prislusnymi demony kontrolovat, zda byly zadany spravne prihlasovaci udaje
Nebudete kontrolovat, protože budete mít přihlašování klíčem.
Aha, to jsem nevedel, ze pri kazdem zahajeni prihlasovaci sekvence demon 'nestartuje'. Ze pro klice se to chova jinak
-
Aha, to jsem nevedel, ze pri kazdem zahajeni prihlasovaci sekvence demon 'nestartuje'.
Jako démon (daemon) se v unixovém světě označují procesy běžící trvale na pozadí. Takže démon se opravdu nestartuje při každém zahájení přihlašovací sekvence, nýbrž běží celou dobu na pozadí. Obvykle se spustí během startu systému.
Ze pro klice se to chova jinak
Ono se to nechová jinak. Psal jste, že démon bude démon kontrolovat, zda byly zadány správné přihlašovací údaje. Útoky na SSH spočívají v tom, že útočník zkouší různá známá uživatelská jména a hesla. O útoku, že by útočník zkoušel různé klíče, jsem ještě neslyšel.
Řešíme tu případ, kdy je na SSH serveru povoleno přihlášení pouze klíčem, přihlášení heslem tedy není povolené. Když se potká hloupý útočník a rozumný server, útočník se pokusí přihlásit heslem, tak server nekontroluje, zda byly zadány správné přihlašovací údaje – protože má zakázané přihlášení heslem, tak takový pokus o přihlášení rovnou odmítne. Pokud se potká „rozumný“ útočník s rozumným serverem, ani na tom serveru přihlášení jménem a heslem nezkouší, protože mu server poslal informaci, že je povolené pouze přihlášení klíčem. Samozřejmě nemůžu vyloučit, že existuje hloupá implementace SSH serveru, která ověřuje jméno a heslo i tehdy, když je přihlášení jménem a heslem zakázané. Pak je ale rozumné takovou hloupou implementaci nahradit něčím normálním.
-
A co si tak treba o fail2ban alespon precist manualovou stranku?
fail2ban - a set of server and client programs to limit brute force authentication attempts.
Každopádně fail2ban není bezpečnostní opatření, protože když bude mít útočník motivaci, může ta hesla zkoušet z různých IP adres, a fail2ban si pak ani neškrtne.
Myslim ze dnes 90% utokov generuju rozne siete "botov" a to ide vzdy z masy ip adries.