Blokace IP útočníků na VPS

Petr

Blokace IP útočníků na VPS
« kdy: 25. 08. 2012, 07:43:25 »
Dobré ráno přeji všem. Předem se omlovám za "Lamacky" dotaz. Jde mi o to, že mam dennodeně utoky na vps o prolomení root hesla, to by mi ani tak nevadilo, heslo je ok, ale kvůli toho mi padají servry. No a mám dotaz kde nastuddovat jak třeba blokovat ip adresu jak se třeba skusí lognout během chvilky na roota? Našel sem članky nějaké iptables sem jakž, takž pochopil, ale to je tak vše. Opravdu v linu se moc nevyznám, teda učím se, nejraději bych byl pokud by mě někdo nasměroval na nějakou literaturu(nechci hotové řešení, potřebuju to pochopit)
« Poslední změna: 26. 08. 2012, 20:12:01 od Petr Krčmář »


Trdlo

Re:blokace ip
« Odpověď #1 kdy: 25. 08. 2012, 07:59:33 »
Koukněte třeba na fail2ban.

Waseihou

Re:blokace ip
« Odpověď #2 kdy: 25. 08. 2012, 09:12:53 »
A nebo změňte ssh port na něco jiného než 22, pokud se teda nepřipojujete z lokace za firewallem který vám nedovolí připojit se na jiné než standardní porty. Ale i tak můžete zkusit třeba 8080...

Trdlo

Re:blokace ip
« Odpověď #3 kdy: 25. 08. 2012, 09:28:21 »
Změna portu moc nepomáhá, to už lepší je riskovat několik neúspěšných pokusů o zadání hesla na ssh na standardním portu, než nechat volný průběh na portu vyšším.

Petr

Re:blokace ip
« Odpověď #4 kdy: 25. 08. 2012, 10:08:34 »
Jistě mam ssh standartně na 22, ale to mi tak nevadí ty snahy, heslo je dostatečně silné jen mě štvou ty snahy, podle ip adres jdou utoky ze zahraničí ne z čr/sk. Jen dodám opravdu nejsem dobry v ůinu pořád se učím, ale co sekundu nebo možna i méně je pokus se lognout na jiny port jde mi o to jak by se někdo pokoušel o toto tak hned do banu


hhh

Re:blokace ip
« Odpověď #5 kdy: 25. 08. 2012, 10:11:43 »
fail2ban

Lupex

Re:blokace ip
« Odpověď #6 kdy: 25. 08. 2012, 10:34:49 »
Nějak mi nedochází souvislost s padáním serverů. Můžete to prosím nějak rozvést?

Re:blokace ip
« Odpověď #7 kdy: 25. 08. 2012, 11:06:42 »
  • Zakaž přihlášení roota přes ssh (PermitRootLogin = no v sshd_config) - tak se Ti tam nepřihlásí ani v případě prolomení hesla
  • Pokud to jde, povol na firewallu port 22 jenom z vyjmenovaných adres
  • Pokud to nejde (dynamické IP a podobně), popřemýšlej např. o OpenVPN
  • Pokud Tě nějaká IP moc štve, blokni ji ručně. Jakékoliv automatické blokování je IMHO asking for troubles

Re:blokace ip
« Odpověď #8 kdy: 25. 08. 2012, 11:09:30 »
…Jen dodám opravdu nejsem dobry v ůinu…
No, řekl bych, že nejsi sám, já například pojem ůin četl poprvé v životě v tvém příspěvku  ;D

Ale k věci. Kromě fail2ban můžeš zkusit také denyhosts, což je více jednoúčelový prográmek, v podstatě ho stačí nainstalovat a hotovo. Pozor na to, že pokud se spleteš v hesle několikrát po sobě, budeš také bez milosti odříznut. Další možností je používat SSH klíče a zakázat přihlašování heslem. Dále můžeš zakázat přihlašování na roota (a používat su/sudo) a nakonec i přesunout na jiné číslo portu.

Nejlépe ale všechno zkombinovat, tedy začít používat SSH klíče, vypnout přihlašování na roota a nainstalovat automatický banner, s nastavením whitelistu, abys měl jistotu, že některé adresy nikdy nezabanuje.

Re:blokace ip
« Odpověď #9 kdy: 25. 08. 2012, 11:23:25 »
  • Zakaž přihlášení roota přes ssh (PermitRootLogin = no v sshd_config) - tak se Ti tam nepřihlásí ani v případě prolomení hesla
  • Pokud to jde, povol na firewallu port 22 jenom z vyjmenovaných adres
  • Pokud to nejde (dynamické IP a podobně), popřemýšlej např. o OpenVPN
  • Pokud Tě nějaká IP moc štve, blokni ji ručně. Jakékoliv automatické blokování je IMHO asking for troubles
Urcite bych vypnul PermitRootLogin.

Port bych nemenil. To je imho blbost. U web serveru taky kazdy nechava vychozi 80 a spousta lidi porad zkousi hadat hesla k webovym aplikacim...
Proc by treba uzivatel pri pristupu na SFTP musel vyplnovat jiny port?

Zajimave by bylo pouze prihlasovani pomoci klicu.

Blokovani IP je hezka vec, ale sposta lidi ma dynamickou IP.
Urcite se vyplati pri nekolika spatnych pokusech o prihlaseni na par minut zablokovat IP.
Napr. denyhost. Ja pouzivam fail2ban, blokuji IP na 10 minut.

Na webu pouzivam blacklist IP (htaccess) pro cinu a vetsinu spamu v diskuzich to odchyti. Na SSH by se to urcite taky vyplatilo - na tom webu jsou i sestavene iptables prikazy.
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

Jenda

Re:blokace ip
« Odpověď #10 kdy: 25. 08. 2012, 15:16:34 »
Změna portu moc nepomáhá, to už lepší je riskovat několik neúspěšných pokusů o zadání hesla na ssh na standardním portu, než nechat volný průběh na portu vyšším.
To je divný, mně změna portu pomohla dost. Je to téměř nepoužívaný čtyřčíselný port.
  • Zakaž přihlášení roota přes ssh (PermitRootLogin = no v sshd_config) - tak se Ti tam nepřihlásí ani v případě prolomení hesla
Už psal, že heslo má dobré (a pokud by měl slabé, má řešit slabé heslo a ne nějaké nesmyslné obfuskace). V čem PermitRootLogin No pomůže? Akorát to rozbije spoustu věcí typu zálohování.

Re:blokace ip
« Odpověď #11 kdy: 25. 08. 2012, 16:21:22 »
Změna portu moc nepomáhá, to už lepší je riskovat několik neúspěšných pokusů o zadání hesla na ssh na standardním portu, než nechat volný průběh na portu vyšším.
To je divný, mně změna portu pomohla dost. Je to téměř nepoužívaný čtyřčíselný port.
Měli bychom se držet standardů ... Pokud máš to SSH jen pro sebe, tak OK, ale pokud tam máš i jiné uživatele (třeba taky SCP/SFTP pro aktualizaci webů), dostáváš se do problémů. Stejně Ti to pomůže maximálně od script-kiddies, pokud se někdo bude vážně snažit, tohle ho fakt nezastaví.
  • Zakaž přihlášení roota přes ssh (PermitRootLogin = no v sshd_config) - tak se Ti tam nepřihlásí ani v případě prolomení hesla
Už psal, že heslo má dobré (a pokud by měl slabé, má řešit slabé heslo a ne nějaké nesmyslné obfuskace). V čem PermitRootLogin No pomůže? Akorát to rozbije spoustu věcí typu zálohování.
Na rozdíl od změny portu je zakázání roota celkem standardní nastavení. Rozbije spoustu věcí = heslo je napsané v nějakých skriptech? OOPS ...

Petr

Re:blokace ip
« Odpověď #12 kdy: 25. 08. 2012, 17:28:03 »
Děkuju všem za ochotu pohrahu si s tím. Ale opravdu děkuju za ochotu. A tam nějaky překlep neřeště.

Mrkva

Re:blokace ip
« Odpověď #13 kdy: 25. 08. 2012, 17:49:43 »
Na rozdíl od změny portu je zakázání roota celkem standardní nastavení. Rozbije spoustu věcí = heslo je napsané v nějakých skriptech? OOPS ...
Co prosím? S povoleným rootem se normálně klíčem k přihlásím jako root a udělám co potřebuju. Se zakázaným rootem se přihlásím jako uživatel, musím přes to SSH spustit su/sudo, tomu nějak předat heslo, které *musí být někde uložené* a až přes to spustit potřebný skript. Nastavit "PermitRootLogin" na "no" je naprostá kravina, která reálnou bezpečnost systému vůbec nezvýší.

Petr

Re:blokace ip
« Odpověď #14 kdy: 25. 08. 2012, 18:56:11 »
Prosím poučte mě teda mam ssh hesslo na root jena ja, pak proftpd kde maj přístup jen určití lidé, do určitych složek, je v v tom problém?