https://www.opennet.ru/openforum/vsluhforumID3/41732.html В понедельник вышел отчет SANS Internet Storm Center (http://isc.sans.org/), предупреждающий о значительном росте количества brute-force атак на SSH серверы. В основе атаки лежит метод подбора паролей по определенному алгоритму или по словарю. Отчет основывается на информации, предоставленной непосредственно пользователями или через почтовые конференции. <br><br><br><br>Данные собранные DenyHosts.org подтверждают эту информацию. На графике (http://stats.denyhosts.net/stats.html) видно резкое увеличение попыток взлома SSH серверов. <br><br>Рекомендации по защите от несанкционированного доступа предлагаются стандартные: разрешение доступа к серверу только с хостов с определенным именем, блокирование входа в систему root, использование стойких паролей и имен пользователей, использование аутентификации по публичному ключу или многоуровневой аутентификации, ограничение публичного доступа к второстепенным сервисам, например, с помощью iptables.<br><br>URL: http://lwn.net/Articles/282218/<br>Новость: http://www.opennet.ru/opennews/art.sh https://www.opennet.ru/openforum/vsluhforumID3/41732.html#88 Tue, 03 Jun 2008 10:30:31 GMT &gt;А чего никто до сих пор не предложил вызывать sshd из inetd? <br>&gt;У inetd есть возможность лимитировать количество соединений с одного IP с <br>&gt;минуту, например одно или два соединения в минуту. <br><br>Ны как вариант ты потеряещь сервер если inetd глюканет.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/41732.html#87 Sun, 01 Jun 2008 16:39:53 GMT А чего никто до сих пор не предложил вызывать sshd из inetd? У inetd есть возможность лимитировать количество соединений с одного IP с минуту, например одно или два соединения в минуту.<br> https://www.opennet.ru/openforum/vsluhforumID3/41732.html#86 Wed, 28 May 2008 13:29:50 GMT &gt;"уязвимость в дебиановском OpenSSL" это проблема исключительно тех<br>&gt;кто пользуется дебианбейсд фигней, а также самим дебианом. <br><br>Если бы...<br><br>&gt;Не нужно так резко отзываться о людях <br>&gt;которые выбрали более адекватные дистрибутивы ;-) <br><br>Теперь представьте себе, что на хосте с более адекватным дистрибутивом размещён публичный ключик, при генерации которого мощность множества секретных ключей была сведена к 98301. Причём вероятность распределена заведомо неравномерно, особенно для пользователя root. Бишь всё это неплохо перебирается в обозримое время.<br><br>Так что если кто вдруг ещё не воспользовался утилитой для поиска увечных ключей, принесённых пользователями лучшего дистрибутива всех времён и народов (tm) или там самопопулярного дистрибутива всех времён и народов (tm) -- предлагаю заглянуть сюда:<br>http://wiki.debian.org/SSLkeys#head-45e521140d6b8f2a0f96a115a5fc616c4f1baf0b<br><br>PS: в Owl и ALT Linux тем временем обкатывается оригинальный вариант openssh, который с несущественными накладными расходами отбр https://www.opennet.ru/openforum/vsluhforumID3/41732.html#85 Tue, 20 May 2008 05:13:57 GMT &gt;&gt;+1 <br>&gt;&gt;Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить, <br>&gt;&gt;с извратом, , ключи. А пароль оставить 12345 :) <br>&gt;<br>&gt;О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого <br>&gt;скана ... <br>&gt;Перевесть порт это так - чтоб логи не пухли. Не защитит вас <br>&gt;зарывание головы в песок - уж сколько раз о "security by <br>&gt;obscurity" толковали ,) <br><br>А PortSentry с блокировкой портскана или snort поставить религия не позволяет??<br> https://www.opennet.ru/openforum/vsluhforumID3/41732.html#84 Mon, 19 May 2008 12:51:48 GMT &gt; тоже хочу приколоться - поставить на виртуальной машине голой жопой в и-нет =)) <br>&gt; посмотреть как кулхацкеры резвятся...<br><br>А если с тебя начнут рассылать спам?<br> https://www.opennet.ru/openforum/vsluhforumID3/41732.html#83 Mon, 19 May 2008 12:50:58 GMT &gt; Видел решение с отсылкой одного особенного пакета, после чего в правилах автоматом прописывалось разрешение на коннект с того ип откуда этот спец пакет пришел.<br><br>Не проще ли открыть VPN-соединение, и потом по нему коннектиться по SSh?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/41732.html#82 Mon, 19 May 2008 10:44:52 GMT &gt;&gt;использование аутентификации по публичному ключу <br>&gt;<br>&gt;Таким хреновым советчикам надо больно е*нуть в бубен за такие советы учитывая <br>&gt;уязвимость в дебиановском OpenSSL и геморрой с этими самыми ключами, мать <br>&gt;их. <br><br>"уязвимость в дебиановском OpenSSL" это проблема исключительно тех кто пользуется дебианбейсд фигней, а также самим дебианом. Не нужно так резко отзываться о людях которые выбрали более адекватные дистрибутивы ;-)<br> https://www.opennet.ru/openforum/vsluhforumID3/41732.html#81 Mon, 19 May 2008 10:40:12 GMT &gt;/usr/ports/security/sshit <br><br>оно отстой. выше gatekeeper показал верный метод, но я делал наоборот, 22 порт был открыт всем, разрешено было 3 попытки в мин с 1 ip коннектится, overload добавлялся в таблицу badusers которая и была закрыта.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/41732.html#80 Sun, 18 May 2008 10:34:00 GMT &gt;не сильно-то и удобно, если к серверу, например, нужен доступ из разных <br>&gt;мест по svn поверх ssh - создавать каждый раз custom transport <br>&gt;замахаишьси. <br><br>http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki<br>