Zabezpečení přístupu přes SSH

ssh

Re:Zabezpečení přístupu přes SSH
« Odpověď #15 kdy: 09. 10. 2018, 13:30:25 »
opat certifikat
zabudol som napisat, ze by to bol iny/dalsi certifikat, nie ten isty, ktorym sa prihlasujem na ssh.


jouda

Re:Zabezpecenie pristupu cez ssh
« Odpověď #16 kdy: 09. 10. 2018, 21:53:39 »
Tak místo toho vystavuješ do internetu VPN…
Tak konkretne u OpenVPN je krome certu jeste pouzit soucasne i shared secret (tls-auth) na HMAC, coz je docela cpu-rychla cesta jak zahodit nechteny bordel.

I kdyz osobne bych spis sel do IPSec, uz proto ze ma daleko rozsirenejsi klienty.

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Zabezpečení přístupu přes SSH
« Odpověď #17 kdy: 10. 10. 2018, 16:11:05 »
buď hosts.denny nebo fail2ban
když budeš mít šikovné heslo, dost pochybuju, že se podaří s tím někomu vyjebat

Pokud máš, ale v plánu se spojovat na ssh z kdejakého cizího počítače, tak jedině přes certifikát, kterej si ssebou budeš smýkat na USBdisku
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

j

Re:Zabezpecenie pristupu cez ssh
« Odpověď #18 kdy: 10. 10. 2018, 18:14:04 »
.... momentalne blokovaných cca 550 IP adries.
Kdy ti to mam prijit dosnout? Hooodne blbej napad. Vygeneruju ti behem par minut klidne par milionu pokusu, kazdej z jiny IP samo, o login a zhrouti se ti to.

...
No jistěže to pomůže. Protože např. tu OpenVPN s certifikátem a heslem bude asi někdo dost blbě lámat, narozdíl od SSH s jménem a heslem "zabezpečeného" nějakou kravinou typu fail2ban....
A neni asi tak 1000x jednodussi si nastavit autorizaci pouze klicem?

...zabudol som napisat, ze by to bol iny/dalsi certifikat, nie ten isty, ktorym sa prihlasujem na ssh.
To je uplne jedno, je to totez jako kdyz pred bepecnostni dvere das jeste dalsi dvere a pred ne jeste dalsi ... a zlodej prijde oknem.

...
Pokud máš, ale v plánu se spojovat na ssh z kdejakého cizího počítače, tak jedině přes certifikát, kterej si ssebou budeš smýkat na USBdisku
To aby si ten cizi pocitac moh ten certifikat v poklidu skopirovat a pripadny heslo odchytit.

hajpa

Re:Zabezpečení přístupu přes SSH
« Odpověď #19 kdy: 10. 10. 2018, 19:10:11 »
Citace
To je uplne jedno, je to totez jako kdyz pred bepecnostni dvere das jeste dalsi dvere a pred ne jeste dalsi ... a zlodej prijde oknem.
+1

Pokud bych ciste teoreticky byl opravdu paranoidni, pak asi nejak takhle. SSH vystaveno pouze na VPN, IPTABLE umozni pripojit na SSH pouze predem znamym statickym IP klientu. SSH akceptuje pouze pripojeni pres klic. Kazdy klient ma vlastni klic s omezenou dobou platnosti. (Idealne nekoncici vsem naraz). FAIL2BAN nebo jinej log parser upozorni administratora mailem/smskou pokud pokusy o prihlaseni prekroci threshold. Optional: port knocking, zmena SSH portu.

Utocnik v tomhle pripade (pokud neprojde oknem) musi byt schopen proniknout do VPN jako "admin" klient nebo premluvit VPN server o prideleni povolene IP adresy, pripadne se pred serverem tvarit ze ji ma i kdyz nema (MITM pres VPN). Ziskat klic k ssh, a optional vedet spravny port a sequence (coz dokaze ziskat pokud se mu podari proves MITM na VPN). Nebo ziskat user access na klientsky PC/Mobil (vsechna tahle prace prichazi v nivec instalaci prvniho cracku)

No a pak prichazi na radu zabezpeceni oken (aplikace bezici v kontejnerech)


Re:Zabezpečení přístupu přes SSH
« Odpověď #20 kdy: 10. 10. 2018, 20:10:35 »
Citace
To je uplne jedno, je to totez jako kdyz pred bepecnostni dvere das jeste dalsi dvere a pred ne jeste dalsi ... a zlodej prijde oknem.
+1

Pokud bych ciste teoreticky byl opravdu paranoidni, pak asi nejak takhle. SSH vystaveno pouze na VPN, IPTABLE umozni pripojit na SSH pouze predem znamym statickym IP klientu. SSH akceptuje pouze pripojeni pres klic. Kazdy klient ma vlastni klic s omezenou dobou platnosti. (Idealne nekoncici vsem naraz). FAIL2BAN nebo jinej log parser upozorni administratora mailem/smskou pokud pokusy o prihlaseni prekroci threshold. Optional: port knocking, zmena SSH portu.

Utocnik v tomhle pripade (pokud neprojde oknem) musi byt schopen proniknout do VPN jako "admin" klient nebo premluvit VPN server o prideleni povolene IP adresy, pripadne se pred serverem tvarit ze ji ma i kdyz nema (MITM pres VPN). Ziskat klic k ssh, a optional vedet spravny port a sequence (coz dokaze ziskat pokud se mu podari proves MITM na VPN). Nebo ziskat user access na klientsky PC/Mobil (vsechna tahle prace prichazi v nivec instalaci prvniho cracku)

No a pak prichazi na radu zabezpeceni oken (aplikace bezici v kontejnerech)

Udivují mě tady rady od lidí, kteří snad o zabezpečení čtou jen na rootu.J to řiká správně.

SSH klíč nemůže mít nastavenou dobu platnosti, musel bych ho někým podepsat a ssh server nastavit tak, aby akceptoval pouze validní podepsané klíče. Port knocking, změna SSH portu jsou nesystémové změny, které nemají reálný význam.

Kontejner (Linux containers aka LXC aka docker) není vůbec určený k zabezpečení, má spousty míst kudy může útočník uniknout.

Sice jsi super paranoidní, máš vpn s adminem, ale pak tam necháš apache pod rootem či jinou zranitelnou službu a jsi v loji. Zabezpečení serveru musí být komplexní, musí se řešit veškeré služby, musí se řešit jejich pravidelná aktualizace (co bylo neproniknutelné dnes, je děravé zítra), logy se samozřejmě musí zpracovávat.

Fail2ban je nesmysl, snadno se dá zahltit a poslat server do kolen, při jeho restartu se pak může najít slabina u nějaké služby (velká část služeb startuje pod rootem a teprve posléze snižuje svoje práva) či prostě stačí jen omezit dostupnost serveru a vyprovokovat admina k unáhleným krokům a otevření vrat. FW pravidla musí být před samotným serverem, jejich automatické bezhlavé vyplňování do lokálního iptables je cesta do pekel, s ipv6 ta cesta má ještě zkratku.

ssh

Re:Zabezpečení přístupu přes SSH
« Odpověď #21 kdy: 10. 10. 2018, 21:15:47 »
myslim, ze sa to tu uz zvrhava na zabezpecenie celeho servera/kontajnera, to ale nebola povodna otazka. ci sa uz utocnik dostane ku mne oknom, alebo kominom je momentalne uplne jedno a nie je potrebne to riesit. otazka smerovala vyhradne na komunikaciu so serverom cez ssh. ak to teda zhrniem, dostali sme sa "len" k dalsej vrstve a to dodatocne zabezpecenie pomocou VPN. pevna IP adresa neprichadza do uvahy, pretoze telekom z casu na cas zmeni moju verejnu adresu a v tom pridade som v pr.eli. takze, ked budem mimo svoj notas, tak by som sa rad pripojil na server, napr z ineho/kamaratovho notasu alebo mi moj notas zdochne - opat musim ist "do susedov" a fixnut pripadny problem odtadial. btw. na ten server sa pripajam vyhradne z nedneho clienta na 99,999% . takze ak vas uz nic ine produktivne nenapada, zostaneme pri tom prihlaseni pomocou kluca/certifikatu do ssh a pristup do ssh je povoleny iba cez vpn. akekolvek ine pripomienky, zlepsujuce zabezpecenie ssh kludne pridavajte dalej, nerieste prosim okna a komin.

dakujem

ssh

Re:Zabezpečení přístupu přes SSH
« Odpověď #22 kdy: 10. 10. 2018, 21:17:42 »
vyhradne z nedneho
...vyhradne z jedneho...

pardon