Zabezpečení SSH

[Stanley]

Nedávno tu byla zprávička o útocích na SSH a před pár dny skupina Zmeu prolomila můj SSH (poněkud jsem jim to ulehčil jednoduchým heslem, na druhou stranu se jednalo o běžného usera, takže nemohli nic moc napáchat). Otázka tedy zní, jaký způsob zabezpečení zvolit. Mám tyto možnosti:
1) router s VPN a pak v rámci VPN použít běžné přihlašování na SSH
2) SSH s přihlašováním pomocí klíčů (na routeru případně posunout port)
3) VPN + SSH s přihlašováním pomocí klíčů
První a druhá možnost mi připadá poměrně rovnocenná, varianta 3) už poněkud paranoidní. Poraďte, co zvolit. Díky.

[Reklama]

[zelen]

SSH je už šifrované, takže IMHO nemá moc smysl to šifrovat ještě jednou skrz VPN. Smysl má použít přihlašovací klíče nebo lepší heslo případně i s blacklistováním (je k ničemu při útoku botnetu, protože pokusy jsou z různých adres).

[smoofy]

To zelen:
Smysl to jiste ma i kdyz ne moc. Musis lousknout dve sifry namisto jedne a to se pocita a navic te to uzsi pasmo u ssh pripojeni nikterak netrapi. Menit port uz tak uzitecny neni, pri cilenem utoku je to otazkou chvile nez ho utocnik najde.
Zameril bych se na failed attemp block po x pokusech za urcitou dobu a nejake komplexnejsi heslo.

[zelen]

To zelen:
Smysl to jiste ma i kdyz ne moc. Musis lousknout dve sifry namisto jedne a to se pocita a navic te to uzsi pasmo u ssh pripojeni nikterak netrapi. Menit port uz tak uzitecny neni, pri cilenem utoku je to otazkou chvile nez ho utocnik najde.
Zameril bych se na failed attemp block po x pokusech za urcitou dobu a nejake komplexnejsi heslo.

Dobrá šifra musí být odolná proti prolomení. Pokud není neměla by se používat. Použití 2 "neprolomitelných" nedává smysl, protože nedokážu prolomit ani tu první a druhá mi tak nezvyšuje bezpečnost. Použití 2 prolomitelných také ne, protože to nepřináší žádnou bezpečnost.

[Filip Jirsák]

Zvolil bych SSH přihlašování pomocí klíčů, případně omezit přístup přes SSH jenom těm uživatelům, kteří ho opravdu potřebují. Ostatně – problém byl ve slabém heslu, takže je dobré vyřešit ten problém a zařídit silnější hesla. Klíč je dost silné heslo. Přidat další vrstvu, kde budete mít zase slabá hesla, není řešením.

na druhou stranu se jednalo o běžného usera, takže nemohli nic moc napáchat

Na to bych moc nespoléhal. Útok z lokálního účtu má daleko víc možností, zároveň je mnohem více lokálně zneužitelných chyb (zrovna před pár dny byla jedna opravena v linuxovém jádru, a takových chyb je několik za rok).

[Reklama]

[student]

VPN pomoze a to proti 0day exploitom proti SSH, takze by som uvazoval bud nad tym alebo nad nejakym inym povolenim len na baze IP.

Ale ako prve odporucam na SSH pouzivat kluce - prinajmensom je to pohodlnejsie - raz odomknem kluc a mozem sa prihlasovat, kolko chcem. Kluce je treba si dobre strazit, tj. nie nieco ako "sef chce kluc" a "sef chce kluc na roota pre pripad, ze by sa vam nieco stalo" a potom zistite, ze sefov kluc na roota pouzil niekto, kto sa tam dostal.

Blokovanie po x pokusoch mozno pomoze, ale netyka sa to velkeho mnozstva pripadov. Na to treba silnejsie heslo; ak niekto uhadne heslo aj tak, tak to bola asi kombinacia na styl root:root, root:password alebo root:123456. Neviem o pokusoch, ktore by skusali nieco ovela silnejsie alebo nebodaj bruteforce.

[Mirek Prýmek]

Nedávno tu byla zprávička o útocích na SSH a před pár dny skupina Zmeu prolomila můj SSH (poněkud jsem jim to ulehčil jednoduchým heslem [...] Poraďte, co zvolit. Díky.

Dobre minena rada: res ten problem, ktery mas: slabe heslo, a nevymyslej nesmysly. Reseni: silne heslo nebo klic.

P.S. co se tyce tech ruznych zranitelnosti, musis peclive cist, co *presne* je zranitelne, za jakych *podminek* a jakym *zpusobem*. Pokud spravujes system rozumne - tj. zejmena podle zasady nejmensich nutnych privilegii (least privilege principle), obvykle se ty predpoklady nenaplni zaraz pro libovolneho utocnika, ale treba jenom pro lokalni uzivatele, coz te treba v konkretnim pripade vubec nemusi trapit, protoze lokalni uzivatele jsou dva...

Ze je neco nejak zranitelne vubec neznamena automaticky konec sveta. Nejzranitelnejsi vec, kterou znam, jsou kreditni karty. A hrouti se svet? Nehrouti. Klido brdo je pouzivame dal...

VPN pomoze a to proti 0day exploitom proti SSH, takze by som uvazoval bud nad tym alebo nad nejakym inym povolenim len na baze IP.

To pomuze kazda dalsi vrstva s dalsim sifrovanim. Kolik jich teda budeme nad sebou pouzivat?

[smoofy]

To pomuze kazda dalsi vrstva s dalsim sifrovanim. Kolik jich teda budeme nad sebou pouzivat?

Tak ono v principu na dalsi vrstve neni nic spatneho, ale vzdy je nutno zvazit v tom konkretnim pouziti, jestli se to skutecne vyplati a jestli je to treba. U domaciho serveru to zbytecne vicemene je, nicmene ja pouzivam VPN predevsim proto, abych se pohodlne dostal do vlastni site ktera je natovana a bezi tam x virtualu a dalsi sifrovaci vrstve je tak vicemene benefit navic, ale rozhodne ne duvod proc bych to tak mel.

[Mirek Prýmek]

Tak ono v principu na dalsi vrstve neni nic spatneho

Spatne ja samotny ten fakt, ze to v systemu je a byt by nemuselo. Minimalne proto, ze se system hur pouziva, vyzaduje na klientovi dalsi software s dalsim nastavenim, nekde se zase vali nejake dalsi klice, na ktere se pri nejblizsi dobe zapomene, takze certifikat vyexpiruje v nejmene vhodnou dobu atd. atd. atd.

Pokud je ta vec k necemu dobra (napr. abych se dostal na komply za NATem), tak tenhle efekt treba to zlo prevazi. Pokud to ale k nicemu jinemu dobre neni, je to zlo ex definitio

[2012]

Pokud das ssh na hodne nestandardni port, zadni boti tam nepolezou. Mam ho na portu 30001 a podle logu se tam nikdo jinej nez ja za posledni pulrok pripojit nesnazil. A kdyby jo, tak ho stejne hned sejme fail2ban, kterej tam je... V kombinaci se silnym heslem tohle podle me staci...

[Mirek Prýmek]

V kombinaci se silnym heslem tohle podle me staci...

Bohate. I bez toho fail2ban.

[2012]

Bohate. I bez toho fail2ban.

Ten fail2ban je tam hlavne kvuli tomu, aby se neplnily logy pri kazdym fail pokusu od botu... Kdyby se teda nejakej, kterej by neco zkousel objevil...

[Mirek Prýmek]

Ten fail2ban je tam hlavne kvuli tomu, aby se neplnily logy pri kazdym fail pokusu od botu... Kdyby se teda nejakej, kterej by neco zkousel objevil...

Boti nezkouší nestandardní porty. Pokud takový útok probíhá, je to známkou (alespoň trochu) zacíleného útoku a je jenom dobře, když se to v logu objeví výrazně

[Jenda]

VPN pomoze a to proti 0day exploitom proti SSH

A co pomůže proti 0day exploitům proti VPN?

[student]

A co pomůže proti 0day exploitům proti VPN?

Zabalit ho do ineho VPN .
Alebo povolit len niekolko IP s prip. portknockingom / SPA.
Alebo vytiahnut sietovy kabel.

Samozrejme, niektore moznosti sa niektorym ludom nemusia hodit, mozu byt zbytocne narocne alebo pridavat dalsiu zranitelnost; ked je to prijatelna alternativa, tak mozno nie je na skodu pocitat aj s nou.