Fórum Root.cz

Hlavní témata => Server => Téma založeno: dezo2 23. 09. 2022, 15:26:48

Název: SSH na OpenWrt přístupy botů
Přispěvatel: dezo2 23. 09. 2022, 15:26:48
Ahoj,
mam doma openwrt box a i kdyz nemam ssh na 22, tak boti si me uz nasli a v logu je videt spousty pokusu o login. Nastesti vetsina konci s nonexistent user, ale co kdyz se jednou trefi i s heslem? Co pouzivate na obranu? Nechci pouzit klice, chci mit pristup z ruznych stroju (kde treba klic mit nebudu).

Diky za napady
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Petr Krčmář 23. 09. 2022, 15:43:14
Já mám všude vypnuté přihlašování heslem a hlásím se výhradně klíči. Pak mě vůbec nějaké pokusy o hádání nezajímají.

Pokud nechcete používat klíče, pak zbývá jedině vytvořit dostatečně neuhádnutelné uživatelské jméno a unikátní heslo. Je potřeba mít to ideálně pro každé zařízení jinak, protože prolomení jednoho zařízení znamená prolomení ostatních. Pokud se nějakou dírou útočník dostane k souboru s hašy hesel, je pravděpodobné, že je prolomí a použije stejné heslo jinde. S klíči tohle nehrozí.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Death Walker 23. 09. 2022, 16:00:28
Fail2ban, ak najde definovany pocet neuspesnych prihlaseni, tak vykona definovanu akciu. Standartne na 24 hod vytvori drop pravidlo na utociacu ip adresu.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: _Jenda 23. 09. 2022, 22:33:55
Pak mě vůbec nějaké pokusy o hádání nezajímají.
Zejména na pomalých strojích, kde se OpenWRT používá, to může brát značné množství výkonu (kryptografický handshake při navazování spojení atd.).

Ale je divné že se připojují i na nestandardní port -- je opravdu nestandardní a ne třeba 222? Ještě se dá použít port knocking…
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: k3dAR 23. 09. 2022, 23:00:06
[...] Ještě se dá použít port knocking…
doporucuju fwknop (https://openwrt.org/docs/guide-user/services/fwknop) (workaround (https://github.com/openwrt/packages/issues/16818#issuecomment-1086624136) pro OpenWRT 22.03)
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Filip Jirsák 24. 09. 2022, 08:32:59
Já mám všude vypnuté přihlášení heslem a klíče. Klíč mám uložený i na šifrovaném flashdisku, který nosím s sebou a který je chráněn PINem (klávesnice je přímo na něm, takže to nepotřebuje žádnou podporu OS).

Pokud trváte na tom, že musíte mít povolený přístup heslem, tak zrušit heslo u všech uživatelů, které pro přihlašování nepoužíváte, a pro uživatele, kterým se přihlašujete, nastavte dostatečně silné (malá a velká písmena, číslice, aspoň šestnáct znaků) náhodně vygenerovné heslo. Pak se nemusíte bát, že ho někdo uhodne.

Pokud potřebujete mít přístup odkudkoli, fail2ban vám akorát může způsobit problémy, když ta síť, odkud se budete potřebovat přihlásit, bude zrovna zablokovaná.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Death Walker 24. 09. 2022, 15:18:09
Pokud potřebujete mít přístup odkudkoli, fail2ban vám akorát může způsobit problémy, když ta síť, odkud se budete potřebovat přihlásit, bude zrovna zablokovaná.

Skor naopak, ak zisti ze utoky idu so siete s ktorej sa potrebuje regulerne prihlasit, tak to umozni vcas zamedzit omnoho vaznejsim utokom. A ak si to sposobi sam, pretoze si napamata vlastne heslo, tak ho to nakopne k tomu aby zacal pouzivat kluce.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Filip Jirsák 24. 09. 2022, 15:34:21
Skor naopak, ak zisti ze utoky idu so siete s ktorej sa potrebuje regulerne prihlasit, tak to umozni vcas zamedzit omnoho vaznejsim utokom. A ak si to sposobi sam, pretoze si napamata vlastne heslo, tak ho to nakopne k tomu aby zacal pouzivat kluce.
Nikoli. Ta síť, ze které se potřebuje přihlásit, bude třeba WiFi v kavárně nebo domácí připojení známého, kde je celá ulice za jedním NATem. Nebo třeba areál vysoké školy. To nevypovídá o žádném budoucím vážnějším útoku, ale jenom o tom, že se zrovna ocitl za IP adresou, kde je i nějaké útočící zařízení.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: _Jenda 24. 09. 2022, 18:39:37
Nikoli. Ta síť, ze které se potřebuje přihlásit, bude třeba WiFi v kavárně nebo domácí připojení známého, kde je celá ulice za jedním NATem. Nebo třeba areál vysoké školy. To nevypovídá o žádném budoucím vážnějším útoku, ale jenom o tom, že se zrovna ocitl za IP adresou, kde je i nějaké útočící zařízení.
By mě zajímalo jak často se tohle tak v praxi děje, a navíc když by se mi tohle stalo tak použiju ProxyJump přes nějaký jiný stroj, a že se zabanujou všechny, to se nestane. (pozn. fail2ban nepoužívám, resp. párkrát jsem to zkoušel na SMTP, ale pak mi přišlo že to není potřeba; pokud mi někde vadí pokusy o přihlášení na SSH (je tam pomalá linka nebo pomalý HW), tak používám nestandardní port a ještě s tím problém nebyl)
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: FKoudelka 24. 09. 2022, 19:38:30
Skor naopak, ak zisti ze utoky idu so siete s ktorej sa potrebuje regulerne prihlasit, tak to umozni vcas zamedzit omnoho vaznejsim utokom. A ak si to sposobi sam, pretoze si napamata vlastne heslo, tak ho to nakopne k tomu aby zacal pouzivat kluce.
Nikoli. Ta síť, ze které se potřebuje přihlásit, bude třeba WiFi v kavárně nebo domácí připojení známého, kde je celá ulice za jedním NATem. Nebo třeba areál vysoké školy. To nevypovídá o žádném budoucím vážnějším útoku, ale jenom o tom, že se zrovna ocitl za IP adresou, kde je i nějaké útočící zařízení.
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika. Prosím vás, kam na to chodíte ? Máte to podložené praxí ?
Nic ve zlém, ale už to diletantství nemůžu ignorovat.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Filip Jirsák 24. 09. 2022, 19:56:02
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika. Prosím vás, kam na to chodíte ? Máte to podložené praxí ?
Nic ve zlém, ale už to diletantství nemůžu ignorovat.
Bušit? Bude mít fail2ban nastavený tak, aby musel někdo bušit, aby zareagoval? Také dost záleží na tom, na co přesně bude fail2ban reagovat. Pokud jen na navázání spojení, stačí třeba vložit obrázek s vhodnou adresou na webovou stránku, která je navštěvovaná třeba na té škole. Každopádně dezo2 se tvářil, že chce mít přístup kdykoli a kdekoli (jinak by používal klíč), což ten fail2ban ohrožuje. Pokud chce předejít těm opakovaným pokusům, je port knocking daleko lepší řešení.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Death Walker 24. 09. 2022, 20:25:23
Pokud chce předejít těm opakovaným pokusům, je port knocking daleko lepší řešení.

Nepovedal by som. Kedze ma ten problem i na nestandartnych portoch, tak je zrejme ze kratko pred bruteforce prebehol scan portov. Isteze, je mozne posielat specificky paket. Ale ten rucne nevytvori, to moze rovno nosit na tej flaske, na ktorej by mal tool pre port knocking, rovno privatny kluc(nepisem nikde ze by nemal, podla mna je prihlasenie pomocou kluca najlepsia volba)
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: FKoudelka 24. 09. 2022, 20:46:31
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika. Prosím vás, kam na to chodíte ? Máte to podložené praxí ?
Nic ve zlém, ale už to diletantství nemůžu ignorovat.
Bušit? Bude mít fail2ban nastavený tak, aby musel někdo bušit, aby zareagoval? Také dost záleží na tom, na co přesně bude fail2ban reagovat. Pokud jen na navázání spojení, stačí třeba vložit obrázek s vhodnou adresou na webovou stránku, která je navštěvovaná třeba na té škole. Každopádně dezo2 se tvářil, že chce mít přístup kdykoli a kdekoli (jinak by používal klíč), což ten fail2ban ohrožuje. Pokud chce předejít těm opakovaným pokusům, je port knocking daleko lepší řešení.
Točíte se na slovíčku… Bušit = brute force snaha o přihlášení na ssh. Co s tím mají obrázky a školy?
No pokud bude v Asii, tak ho ten fail2ban může sejmout, ad mé zkušenosti s přístupem odtud  na jistý webmail. Ale tady ?
Pošlu sem , až budu v práci, statistiku bušení a vy prosím odpovězte na mou otázku : máte to tvrzení podložené praxí ? Neostýchejte se to uvést.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: scientific 24. 09. 2022, 21:17:54
Přesně, ve firmě používáme dokonce kombinaci většiny výše uvedených řešení a je nám to jedno.

O čem vím, tak je konbinace následujících metod:

Sktrikní používání výhradně ssh klíče.
Zakázání root loginu
Změna defaultního portu
Fail2ban, který proti logům banuje například každého kdo za poslední týden 10 krát zkusil uhádnout heslo. F2b je jedno, jestli je to někdo v kavárně s výkoným rackem vedle stolu nebo ještli je to traffic z bangladéže, dá se implementovat na všechno i na ten webmail.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Filip Jirsák 24. 09. 2022, 22:18:37
Co s tím mají obrázky a školy?
Že byste si třeba nejprve přečetl komentář, na který reagujete?

No pokud bude v Asii, tak ho ten fail2ban může sejmout, ad mé zkušenosti s přístupem odtud  na jistý webmail. Ale tady ?
Zaznamenal jste, že má dezo2 SSH na nestandardním portu? Takže možná nejde o útoky na náhodně vygenerovnané adresy, jak si myslíte?

Pošlu sem , až budu v práci, statistiku bušení a vy prosím odpovězte na mou otázku : máte to tvrzení podložené praxí ? Neostýchejte se to uvést.
Podíval jsem se namátkou do logu sshd, první adresa je Singapur, druhá Německo. Pokud vím, Německo je v Evropě. Navíc je to stejný poskytovatel, kde mám VPS, ze kterého bych třeba nechtěl mít přístup na jiná má zařízení zablokovaný. (A když se tady budeme o fail2ban ještě chvíli bavit, určitě přijde někdo, kdo nám přijde vysvětlit, jaké je to super, jak tím blokuje rovnou celé sítě hned při jakémkoli neplatném pokusu o připojení.)
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: FKoudelka 24. 09. 2022, 22:48:03
Co s tím mají obrázky a školy?
Že byste si třeba nejprve přečetl komentář, na který reagujete?

No pokud bude v Asii, tak ho ten fail2ban může sejmout, ad mé zkušenosti s přístupem odtud  na jistý webmail. Ale tady ?
Zaznamenal jste, že má dezo2 SSH na nestandardním portu? Takže možná nejde o útoky na náhodně vygenerovnané adresy, jak si myslíte?

Pošlu sem , až budu v práci, statistiku bušení a vy prosím odpovězte na mou otázku : máte to tvrzení podložené praxí ? Neostýchejte se to uvést.
Podíval jsem se namátkou do logu sshd, první adresa je Singapur, druhá Německo. Pokud vím, Německo je v Evropě. Navíc je to stejný poskytovatel, kde mám VPS, ze kterého bych třeba nechtěl mít přístup na jiná má zařízení zablokovaný. (A když se tady budeme o fail2ban ještě chvíli bavit, určitě přijde někdo, kdo nám přijde vysvětlit, jaké je to super, jak tím blokuje rovnou celé sítě hned při jakémkoli neplatném pokusu o připojení.)
Jo, komentář jsem četl, ale nedává mi smysl.
Proč  vylučujete útok na nestandardní porty na náhodných IP adresách ? Na zjištění protokolu není nutné znát port. Že byste věřil v security through obscurity. ?
Namátkou dvě adresy z logu ? To má být argument podložený praxí ? :-)
A ano, blokuji celé sítě, ne fail2ban, ale pomocí geo-policy. A řeknu vám , je to požitek, pár kliky zablokovat rusáky.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Filip Jirsák 24. 09. 2022, 23:03:51
Proč  vylučujete útok na nestandardní porty na náhodných IP adresách ?
Protože plošné útoky hádající SSH hesla nezkoušejí náhodné porty.

Namátkou dvě adresy z logu ? To má být argument podložený praxí ? :-)
No vy jste tvrdil, že zablokovat přes fail2ban přístup sobě nemůže, protože ty útoky jdou jen z Asie nebo Latinské Ameriky. Takže na vyvrácení vašeho tvrzení stačí jediná IP adresa z Evropy.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: CPU 24. 09. 2022, 23:44:22
Protože plošné útoky hádající SSH hesla nezkoušejí náhodné porty.

https://www.youtube.com/watch?v=rFPRJTvcx_c
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: FKoudelka 25. 09. 2022, 09:37:06
Proč  vylučujete útok na nestandardní porty na náhodných IP adresách ?
Protože plošné útoky hádající SSH hesla nezkoušejí náhodné porty.

Namátkou dvě adresy z logu ? To má být argument podložený praxí ? :-)
No vy jste tvrdil, že zablokovat přes fail2ban přístup sobě nemůže, protože ty útoky jdou jen z Asie nebo Latinské Ameriky. Takže na vyvrácení vašeho tvrzení stačí jediná IP adresa z Evropy.
Toto jsem řekl: vidíte tam nějaké “jen” ?
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Filip Jirsák 25. 09. 2022, 11:22:16
Toto jsem řekl: vidíte tam nějaké “jen” ?
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
No vypadalo to, že tou druhou větou se snažíte podpořit tu první. Pokud jste tu druhou větou chtěl říct, že jste si svůj názor z první věty rozmyslel, pak máte pravdu. Ano, opravdu jdou útoky i z evropských sítí a opravdu se může stát, že se ocitnete v síti, kterou máte zablokovanou. Ale ještě víc bych se bál toho, že vám ten přístup někdo z té sítě zablokuje záměrně – ať už proto, že vás opravdu bude chtít poškodit, nebo jen jako škodolibý vtip.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: FKoudelka 25. 09. 2022, 18:35:48
Protože plošné útoky hádající SSH hesla nezkoušejí náhodné porty.

https://www.youtube.com/watch?v=rFPRJTvcx_c
https://youtu.be/coQFk_Y-LGQ
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: FKoudelka 26. 09. 2022, 11:17:16
Proč  vylučujete útok na nestandardní porty na náhodných IP adresách ?
Protože plošné útoky hádající SSH hesla nezkoušejí náhodné porty.
To ani nemusí, stačí , když si najde na Shodanu ty nejčastéji používané kromě 22 a zkusí třeba Top 10. V drtivé většině je to stejně 2222.
A psal jsem nestandardní, ne náhodné, to není totéž.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: FKoudelka 26. 09. 2022, 11:27:17
Toto jsem řekl: vidíte tam nějaké “jen” ?
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
No vypadalo to, že tou druhou větou se snažíte podpořit tu první. Pokud jste tu druhou větou chtěl říct, že jste si svůj názor z první věty rozmyslel, pak máte pravdu. Ano, opravdu jdou útoky i z evropských sítí a opravdu se může stát, že se ocitnete v síti, kterou máte zablokovanou. Ale ještě víc bych se bál toho, že vám ten přístup někdo z té sítě zablokuje záměrně – ať už proto, že vás opravdu bude chtít poškodit, nebo jen jako škodolibý vtip.
Ony ty mé dvě věty spolu nesouvisí. Myslím tím tu o nestandardních portech
 a tu několikrát kladenou otázku, zda svá tvrzení máte podložená praxí?
 A neříkal jsem, že útoky z Evropy nejdou. Ale je jich minimum , když pominu Turecko, Balkán apod. K tomu dalšímu, bez ironie, připadá mi, že stavíte pyramidu na špičku.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Filip Jirsák 26. 09. 2022, 12:17:17
To ani nemusí, stačí , když si najde na Shodanu ty nejčastéji používané kromě 22 a zkusí třeba Top 10. V drtivé většině je to stejně 2222.
A psal jsem nestandardní, ne náhodné, to není totéž.
To by musel napsat dezo2, jestli přesunul SSH na náhodně zvolený port, nebo použil nějaký běžně používaný. Za mne – když už někdo přesouvá SSH na jiný port kvůli hádání hesel – nedává smysl přesunout to na nějaký jiný port běžně používaný pro SSH. Podle mne by něco jako „nestandardní port běžně používaný pro SSH“ vůbec nemělo existovat…

Toto jsem řekl: vidíte tam nějaké “jen” ?
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
No vypadalo to, že tou druhou větou se snažíte podpořit tu první. Pokud jste tu druhou větou chtěl říct, že jste si svůj názor z první věty rozmyslel, pak máte pravdu. Ano, opravdu jdou útoky i z evropských sítí a opravdu se může stát, že se ocitnete v síti, kterou máte zablokovanou. Ale ještě víc bych se bál toho, že vám ten přístup někdo z té sítě zablokuje záměrně – ať už proto, že vás opravdu bude chtít poškodit, nebo jen jako škodolibý vtip.
Ony ty mé dvě věty spolu nesouvisí. Myslím tím tu o nestandardních portech
 a tu několikrát kladenou otázku, zda svá tvrzení máte podložená praxí?
 A neříkal jsem, že útoky z Evropy nejdou. Ale je jich minimum , když pominu Turecko, Balkán apod. K tomu dalšímu, bez ironie, připadá mi, že stavíte pyramidu na špičku.
Proč odpovídáte na něco úplně jiného, než co citujete? Napsal jste tohle:

Citace
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
To vypadalo jako argument, že nemůže dojít k uzamčení z kavárny, ulice nebo vysoké školy, protože to oťukávání serveru přichází jenom z Asie nebo Latinské Ameriky.

Je totiž úplně jedno, kolik útoků jde z jiných sítí. Podstatné je jenom to, jaká je pravděpodobnost, že k tomu oťukávání dojde ze sítě, odkud se bude chtít dezo2 přihlásit.

dezo2 psal, že chce mít přístup z různých strojů – asi ani jeden z nás neví, jestli chce mít přístup i z Turecka, Balkánu nebo Asie. A jak jsem psal, ty útoky můžou jít i ze sítě evropských poskytovatelů VPS (OVH, Contabo a další), kde může mít VPS, ze které chce mít k tomu routeru přístup. To my nepřipadá jako něco nepravděpodobného.

Zkrátka fail2ban má značné náklady (procházení logů i spousty firewallových pravidel je zejména na slabém zařízení nezanedbatelná režie), nezanedbatelná rizika (největší riziko je, že si to zamknete sám; menší riziko je, že vám to zamkne někdo jiný záměrně – fail2ban je pozvánka k DoSu; ještě menší riziko je, že vám to zamkne někdo jiný náhodně – ale pořád to není riziko, které bych považoval za zanedbatelné). Asi jsem měl uvést i ta pravděpodobnější rizika – nicméně obávám se, že tam si kde kdo řekne „to se mi nemůže stát, že třikrát zadám špatně heslo“. To náhodné zamknutí jsem uváděl proto, že jsem chtěl uvést něco, co nemůžete nijak ovlivnit.

Když to shrnu dohromady – značné náklady, nezanedbatelná rizika, přínos je sporný. Pro to bych fail2ban neřešil a pokud bych chtěl router chránit před tím nákladným navazováním SSH spojení, použil bych raději jiná řešení, třeba zmíněný port knocking. Přičemž ani port knocking ani fail2ban nepovažuju za ochranu přístupu přes SSH – to musí být chráněné klíčem nebo přinejhorším alespoň dostatečně silným unikátním heslem, to považuju za naprostou samozřejmost.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: FKoudelka 26. 09. 2022, 18:33:46

Citace
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika

Je totiž úplně jedno, kolik útoků jde z jiných sítí. Podstatné je jenom to, jaká je pravděpodobnost, že k tomu oťukávání dojde ze sítě, odkud se bude chtít dezo2 přihlásit.

……..

Když to shrnu dohromady – značné náklady, nezanedbatelná rizika, přínos je sporný. Pro to bych fail2ban neřešil a pokud bych chtěl router chránit před tím nákladným navazováním SSH spojení, použil bych raději jiná řešení, třeba zmíněný port knocking. Přičemž ani port knocking ani fail2ban nepovažuju za ochranu přístupu přes SSH – to musí být chráněné klíčem nebo přinejhorším alespoň dostatečně silným unikátním heslem, to považuju za naprostou samozřejmost.
S tím shrnutím naprosto souhlasím.
Ale ta pravděpodobnost , že se dezo2 střelí do kolena je limitně nula. Úměrná tomu , jak často dělá z Turecka nebo Asie a jak často z ČR. Za posledních 7 dní jsem z logů na FW z těch velkých statisíců záznamů útoku nenašel z Česka ani jeden.
Ale možná by se mohl už taky zapojit do debaty stran lokací a portů.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: Filip Jirsák 26. 09. 2022, 19:59:05
S tím shrnutím naprosto souhlasím.
Ale ta pravděpodobnost , že se dezo2 střelí do kolena je limitně nula. Úměrná tomu , jak často dělá z Turecka nebo Asie a jak často z ČR. Za posledních 7 dní jsem z logů na FW z těch velkých statisíců záznamů útoku nenašel z Česka ani jeden.
Ale možná by se mohl už taky zapojit do debaty stran lokací a portů.
Pokud je v ČR nezáleží na tom, kolik je útoků z Turecka nebo Asie, ale jenom na tom, kolik jich je z ČR. (Samozřejmě zase předpokládáme, že útoky z ČR jsou rovnoměrně rozložené přes různé sítě.) Ale hlavně – ta pravděpodobnost, že se dezo2 střelí do kolena, je limitně nula v ideálním případě. Ostatně vy sám jste zmiňoval své problémy s webmailem. Pak totiž někdo přijde s tím, že do fail2ban napojí další služby z toho samého zařízení. nebo ho napojí na nějakou externí databázi – svých dalších zařízení, nebo na něco, co se snaží sledovat spamující zdroje apod. Nebo bude blokovat na základě geolokace. Nebo udělá cokoli dalšího, co chování fail2ban změní –  a s čím my nepočítáme a on to bude považovat za změnu, která nemůže nic zkazit. Proto takovéhle věci nedoporučuju někomu, kdo nezná potřebné souvislosti. A když už s tím někdo přijde, snažím se alespoň poukázat na to největší nebezpečí – tedy na to, že čím větší kladivo použijete ve fail2ban na útočníky, tím větší pravděpodobnost, že to kladivo zasáhne i vás.
Název: způsob ověření správného hesla k SSH klíči(offline/na serveru) dle implementace
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 06. 10. 2022, 19:24:02
Já mám všude vypnuté přihlašování heslem a hlásím se výhradně klíči. Pak mě vůbec nějaké pokusy o hádání nezajímají.
Je to někde vysvětleno, jaký je prostor možností (hádání) klíče  ?A nebo je to podle stejné analogie  u hesla(hodně zjednodušeně 27^8) u klíče 2^2048  Tudíž tak astronomické, že to je v říši scifi?

Dál by mě zajímalo, jak je to s ochranou klíče heslem. V podstatě jestli se dá z zaheslovaného keyfile 1) zjistit, že zadané heslo je správné (bez připojení k serveru) čili jestli takový keyfile poskytuje nějakou indikaci o správnosti hesla nebo ne (takže výsledek odemčení zahesl.keyfile správným heslem dá stejný výsledek jako špatným heslem) a 2) se dá vytáhnout z zahesl.keyfile klíč bez nutnosti k serveru
 V těhle dvou příkladech:
1.klasicky vygenerovaný klíč přes ssh-keygen.
2. Klíč v android aplikaci ConnectBot. V menu-správa klíču je možnost si klíč (importovaný nebo přes něj generovanýú) zabezpečit heslem, smazat zabezpečení heslem   a taky možnost si (zaheslovaný) klíč odemknout,  Jenže už v procesu odemykání se dá zjistit, že jsem zadal špatné heslo, vyhodí to hlášku a klíč zustane zamčený.
2a) liší se způsob připojování k serveru přes connectbot když si klíč odemknu předem a nebo zadávám heslo teprv momentě kdy se připojuji k serveru? Když si ho neodemknu a zadávám heslo v momentě připojení, v konzoli promptu dostanu hlášku Pokus o autetnt.zvolen klíčem \n Bad password forkey.. . Authent.failed, Spojení ztraceno
2b: liší se způsob zbezpečení hesla přes keygen a connect bot, ? (nevím jak ssh, . ale u toho connectbotu to vypadá, že tam jsou oba scénáře)


A do třetice, může "evil" sshd server poznat, jakým klíčem se přihlašuji (ne přímo soukromý klíč, ale nějaká vedlejší informace  jako nějaký název či komentář)
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: panpanika 06. 10. 2022, 19:55:28
https://en.m.wikipedia.org/wiki/RSA_problem
Název: Re:způsob ověření správného hesla k SSH klíči(offline/na serveru) dle implementace
Přispěvatel: Death Walker 06. 10. 2022, 22:04:18
Pri nadviazani spojenia server okrem ineho uz vie verejny kluc klienta, tak nim zasifruje spravu a posle ju klientovi, klient spravu desifruje pomocou privatneho kluca a overi podpis proti vetejnemu klucu serveru. Privatny kluc, ani heslo k nemu, nikdy neopusti klienta(za dodrzania bezpecnostnyh zasad).
Název: Re:způsob ověření správného hesla k SSH klíči(offline/na serveru) dle implementace
Přispěvatel: _Jenda 07. 10. 2022, 01:13:11
Je to někde vysvětleno, jaký je prostor možností (hádání) klíče  ?A nebo je to podle stejné analogie  u hesla(hodně zjednodušeně 27^8) u klíče 2^2048  Tudíž tak astronomické, že to je v říši scifi?
Tak zaprvé klíč je vynásobení dvou prvočísel, takže jedno prvočíslo + veřejný klíč už plně definuje klíč. Tím se nám zmenšil prostor na 2^1024. (tak jak píšeš to zhruba funguje u ECC, ne u RSA)

Za druhé prvočísel do délky 1024 je méně než 2^1024 (ne všechna čísla jsou prvočísla), je tam nějaký logaritmus a určitě to jde nějak spočítat https://en.wikipedia.org/wiki/Euler%27s_totient_function

Za třetí RSA se necrackuje zkoušením všech možností, ale složitými algoritmy na hledání prvočíselného rozkladu. Aktuálně favorit je https://en.wikipedia.org/wiki/GNFS, vzoreček na složitost je tam napsaný.

Aktuální postup si můžeš najít třeba ve zmíněném https://en.wikipedia.org/wiki/RSA_factoring_challenge, koukám že od doby co jsem se naposledy koukal padlo RSA-829.

Dál by mě zajímalo, jak je to s ochranou klíče heslem.
Obávám se že openssh formát keyfile umožňuje offline kontrolu správnosti hesla. Je to zajímavý nápad, že by to šlo implementovat bez této možnosti, ale asi se očekává, že veřejný klíč je opravdu veřejný, a pak to jde ověřovat offline z principu.

2b: liší se způsob zbezpečení hesla přes keygen a connect bot, ? (nevím jak ssh, . ale u toho connectbotu to vypadá, že tam jsou oba scénáře)
Nevím jak je to implementované ale obecně se v historii řešilo jestli se z hesla odvozuje klíč obyčejnou MD5 (špatné) nebo nějakým „náročným“ algoritmem (PBKDF - PBKDF2, scrypt, bcrypt…). Ten klíč je doufám standardní PEM takže to půjde zjistit přes openssl.

A do třetice, může "evil" sshd server poznat, jakým klíčem se přihlašuji (ne přímo soukromý klíč, ale nějaká vedlejší informace  jako nějaký název či komentář)
Ano, dokonce stále běží služba, co vycrawlila klíče z githubu a teď ti to vpálí do obličeje: https://words.filippo.io/ssh-whoami-filippo-io/
Název: Re:způsob ověření správného hesla k SSH klíči(offline/na serveru) dle implementace
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 14. 10. 2022, 11:47:38
vie verejny kluc klienta
kde se bere verejny kluc klienta ? Klient má privátní klič (aj ked suromy klic  je ve forme  privatni + verejny)
Název: Re:způsob ověření správného hesla k SSH klíči(offline/na serveru) dle implementace
Přispěvatel: Death Walker 14. 10. 2022, 15:44:37
vie verejny kluc klienta
kde se bere verejny kluc klienta ? Klient má privátní klič (aj ked suromy klic  je ve forme  privatni + verejny)

Vygeneruje sa vacsinou pri generovani sukromneho kluca... Klient v podstate potrebuje k cinnosti len privatny kluc, ma vsak ulozeny aj verejny aby ho vedel v pripade potreby poskytnut.
Název: Re:způsob ověření správného hesla k SSH klíči(offline/na serveru) dle implementace
Přispěvatel: k3dAR 14. 10. 2022, 18:13:51
Vygeneruje sa vacsinou pri generovani sukromneho kluca... Klient v podstate potrebuje k cinnosti len privatny kluc, ma vsak ulozeny aj verejny aby ho vedel v pripade potreby poskytnut.
to se vygeneruje vzdy, ale pro poskytnuti neni potreba, muzes ho vytahnout z privatniho ;-)
Kód: [Vybrat]
ssh-keygen -f id_rsa -y > id_rsa.pub
Název: Re:způsob ověření správného hesla k SSH klíči(offline/na serveru) dle implementace
Přispěvatel: _Jenda 14. 10. 2022, 18:19:30
Vygeneruje sa vacsinou pri generovani sukromneho kluca... Klient v podstate potrebuje k cinnosti len privatny kluc, ma vsak ulozeny aj verejny aby ho vedel v pripade potreby poskytnut.
to se vygeneruje vzdy, ale pro poskytnuti neni potreba, muzes ho vytahnout z privatniho ;-)
Kód: [Vybrat]
ssh-keygen -f id_rsa -y > id_rsa.pub
On se ptal proč ho posíláš serveru. A je možné že neposíláš (musel bych si nastudovat jak to je přesně implementované a znova si osvěžit taje asymetrické kryptografie, ještě se to komplikuje že to má několik nezávislých algoritmů - RSA, ECC…). Ale v "ssh -vvv" vidíš že posíláš fingerprint, což je jasné, protože na serveru může být mnoho veřejných klíčů (extrémní případ: gitlab/github/gitolite má jednoho uživatele, a podle klíče určuje k jakým repozitářům máš přístup), a podle fingerprintu tě tamten tool identifikuje.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: hazardrok 14. 10. 2022, 20:21:20
Ahoj, docela by mě zajímalo jestli se někomu stalo, že čelil skutečně reálnému útoku. Provozuju už několik let veřejně dva SSH servery (k čistě experimentálním účelům) na jiném portu než 22 a loguju si každý pokus o přihlášení včetně přihlašovacích údajů (k přihlášení se používá jen uživatelské jméno a heslo). Za celou dobu provozu tyto servery čelily statisícům neplatným pokusům o přihlášení. 100% těchto přihlášení se snažilo používat naprosto nesmyslné uživatelské údaje které byli sice reálné např: root root nebo ssh ssh, ale nikdy jsem neviděl že by se ten robot snažil vyloženě o uhádnutí hrubou silou. Současně bych řekl, že ten problém uhádnutí hesla je sice důležitej, ale ke každému jednomu heslu přeci existuje i uživatelské jméno, které to utočníkovi zase o něco stěžuje....nedokážu si představit, že by útočník, který o mém systému nic neví dokázal jakýmkoliv způsobem uhádnout byť jen username natož pak k němu přiřadit i příslušné heslo.
Název: Re:SSH na OpenWrt přístupy botů
Přispěvatel: FKoudelka 14. 10. 2022, 20:33:19
Ahoj, docela by mě zajímalo jestli se někomu stalo, že čelil skutečně reálnému útoku. Provozuju už několik let veřejně dva SSH servery (k čistě experimentálním účelům) na jiném portu než 22 a loguju si každý pokus o přihlášení včetně přihlašovacích údajů (k přihlášení se používá jen uživatelské jméno a heslo). Za celou dobu provozu tyto servery čelily statisícům neplatným pokusům o přihlášení. 100% těchto přihlášení se snažilo používat naprosto nesmyslné uživatelské údaje které byli sice reálné např: root root nebo ssh ssh, ale nikdy jsem neviděl že by se ten robot snažil vyloženě o uhádnutí hrubou silou. Současně bych řekl, že ten problém uhádnutí hesla je sice důležitej, ale ke každému jednomu heslu přeci existuje i uživatelské jméno, které to utočníkovi zase o něco stěžuje....nedokážu si představit, že by útočník, který o mém systému nic neví dokázal jakýmkoliv způsobem uhádnout byť jen username natož pak k němu přiřadit i příslušné heslo.
Jj, jedna větší firma (můj známý) byla takto hacknuta přes default password oracle admina nebo tak něco. Heslo bylo tuším dba nebo sda tehdy. Zkoušeli to cíleně kvůli, řekněme, lukrativnímu digitálnímu sortimentu firmy, potichoučku pomaloučku asi půl roku, pak tam nasadili rootkit pro linux, ale ten jim “bůhví proč “ :-) na Aixu nefungoval. Už je to snad 10-15 let.