To ani nemusí, stačí , když si najde na Shodanu ty nejčastéji používané kromě 22 a zkusí třeba Top 10. V drtivé většině je to stejně 2222.
A psal jsem nestandardní, ne náhodné, to není totéž.
To by musel napsat dezo2, jestli přesunul SSH na náhodně zvolený port, nebo použil nějaký běžně používaný. Za mne – když už někdo přesouvá SSH na jiný port kvůli hádání hesel – nedává smysl přesunout to na nějaký jiný port běžně používaný pro SSH. Podle mne by něco jako „nestandardní port běžně používaný pro SSH“ vůbec nemělo existovat…
Toto jsem řekl: vidíte tam nějaké “jen” ?
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
No vypadalo to, že tou druhou větou se snažíte podpořit tu první. Pokud jste tu druhou větou chtěl říct, že jste si svůj názor z první věty rozmyslel, pak máte pravdu. Ano, opravdu jdou útoky i z evropských sítí a opravdu se může stát, že se ocitnete v síti, kterou máte zablokovanou. Ale ještě víc bych se bál toho, že vám ten přístup někdo z té sítě zablokuje záměrně – ať už proto, že vás opravdu bude chtít poškodit, nebo jen jako škodolibý vtip.
Ony ty mé dvě věty spolu nesouvisí. Myslím tím tu o nestandardních portech
a tu několikrát kladenou otázku, zda svá tvrzení máte podložená praxí?
A neříkal jsem, že útoky z Evropy nejdou. Ale je jich minimum , když pominu Turecko, Balkán apod. K tomu dalšímu, bez ironie, připadá mi, že stavíte pyramidu na špičku.
Proč odpovídáte na něco úplně jiného, než co citujete? Napsal jste tohle:
Řekl bych, že z kavárny, z ulice nebo z vysoké školy , kde se náhodou octl, do něj nikdo bušit nebude. Typicky je to Asie nebo Latinská Amerika
To vypadalo jako argument, že nemůže dojít k uzamčení z kavárny, ulice nebo vysoké školy, protože to oťukávání serveru přichází jenom z Asie nebo Latinské Ameriky.
Je totiž úplně jedno, kolik útoků jde z jiných sítí. Podstatné je jenom to, jaká je pravděpodobnost, že k tomu oťukávání dojde ze sítě, odkud se bude chtít dezo2 přihlásit.
dezo2 psal, že chce mít přístup z různých strojů – asi ani jeden z nás neví, jestli chce mít přístup i z Turecka, Balkánu nebo Asie. A jak jsem psal, ty útoky můžou jít i ze sítě evropských poskytovatelů VPS (OVH, Contabo a další), kde může mít VPS, ze které chce mít k tomu routeru přístup. To my nepřipadá jako něco nepravděpodobného.
Zkrátka fail2ban má značné náklady (procházení logů i spousty firewallových pravidel je zejména na slabém zařízení nezanedbatelná režie), nezanedbatelná rizika (největší riziko je, že si to zamknete sám; menší riziko je, že vám to zamkne někdo jiný záměrně – fail2ban je pozvánka k DoSu; ještě menší riziko je, že vám to zamkne někdo jiný náhodně – ale pořád to není riziko, které bych považoval za zanedbatelné). Asi jsem měl uvést i ta pravděpodobnější rizika – nicméně obávám se, že tam si kde kdo řekne „to se mi nemůže stát, že třikrát zadám špatně heslo“. To náhodné zamknutí jsem uváděl proto, že jsem chtěl uvést něco, co nemůžete nijak ovlivnit.
Když to shrnu dohromady – značné náklady, nezanedbatelná rizika, přínos je sporný. Pro to bych fail2ban neřešil a pokud bych chtěl router chránit před tím nákladným navazováním SSH spojení, použil bych raději jiná řešení, třeba zmíněný port knocking. Přičemž ani port knocking ani fail2ban nepovažuju za ochranu přístupu přes SSH – to musí být chráněné klíčem nebo přinejhorším alespoň dostatečně silným unikátním heslem, to považuju za naprostou samozřejmost.
Zobrazit příspěvky
