В кодовую базу OpenSSH добавлена встроенная защита от автоматизированных атак по подбору паролей, в ходе которых боты пытаются угадать пароль пользователя, перебирая различные типовые комбинации. Для блокирования подобных атак в файл конфигурации sshd_config добавлен параметр PerSourcePenalties, позволяющий определить порог блокировки, срабатывающий при большом числе неудачных попыток соединений с одного IP-адреса. Новый механизм защиты войдёт в состав следующего выпуска OpenSSH и будет включён по умолчанию в OpenBSD 7.6...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61331
Всё, можно удалять Fail2Ban?
Функцию они добавили но ещё и недокументированные способы обхода добавили. Так что полагаться на один инструмент от одного разработчика небезопасно.
ВЕРЮ
>ещё и недокументированные способы обхода добавилиОчень хочеться увидеть ссылки на дифы исходного кода, подтверждающего твоё утверждение
Ахаха, а мошенники, которые тебе по телефону звонят тоже должны тебе доказывать что они мошенники? А ты смешной.
А че мошенники делятся своими "скриптами" со всем миром?))))
> Функцию они добавили но ещё и недокументированные способы обхода добавили.
> Так что полагаться на один инструмент от одного разработчика небезопасно.И вы конечно покажете комит где это все сделано?
его и ставить было незачем. А вот фришный blacklistd по прежнему гораздо нужнее этого уродца (где, дайте угадаю, забыли предусмотреть возможность быстро посмотреть что попало в этот список и поменять если вдруг ошибочка вышла)
В fail2ban есть команды вывода заблокированных ip и команда удаления конкретных ip из бана. Не осилили.
В fail2ban-то есть, хотя он сам-то соединений не принимает и можно смотреть сразу в том месте, где на самом деле блокируется, а вот в новом-улучшенном ssh - как думаешь?c fail2ban проблема в другом - то, откуда он берет информацию. Во-первых поздно, во-вторых криво. blacklistd был устроен иначе и там все изначально правильно сделано - но, увы, требует вменяемых разработчиков а где ж их взять.
Переобулся на лету? Сначала одно критикуешь, потом другое...
> Во-первых поздноЕсли посмотреть лог, то там реагирование в считанные миллисекунды.
> во-вторых кривоЧто кривого в чтении логов? Помимо файловых логов, fail2ban может читать инфу от systemd.
>Если посмотреть лог, то там реагирование в считанные миллисекунды
>Помимо файловых логов, fail2ban может читать инфу от systemdПодскажи, плз, fail2ban непрерывно в реалтайме анализирует логи, или по крону каждую миллисекунду?
В реальном времени. Fail2ban - это демон.
Чушь - читай 2-й абзац до просветления.Второе
>где на самом деле блокируется,Фаервол - это и есть самое правильное место для блокировки
Если только для SSH. А так он еще много чего делать может.
sshguard можно точно удалять.
Наконец-то догадались. Даже распоследний похапе-разработчик догадывается добавить в самописную гостевуху макс. число попыток залогиниться с айпишника.
> Наконец-то догадались. Даже распоследний похапе-разработчик догадывается добавить в
> самописную гостевуху макс. число попыток залогиниться с айпишника.А потом окажется что это ты и был, не заметив сперва что включена русская раскладка, "блин, да какого не пускает-то?" а потом дважды не дожал/не вовремя отпустил шифт на раздолбаной офисной клавиатуре - и теперь можешь в панике бегать искать другой айпишник чтоб хоть как-то исправить ситуацию.
Гостевухе последнего пехеперазработчика понятно пофиг, там кроме спама отродясь никто ничего и не писал. Насчет твоего подкроватного сервера уже могут быть варианты.
То есть варианта подождать 10 минут и залогиниться у тебя в башке нет?
Особенно на упавшем платежном сервисе, когда компания теряет по К платежей в секунду. И за задержку в 10 минут башку анонима просто оторвут.Хотя сейчас в таких местах наверно не ставят OpenSS.
А что ставят?
> А что ставят?я тоже интересуюсь?
> я тоже интересуюсь?не знаю?
там ключи используются и двуфакторка, как и во всех приличных местах. Вход по паролю - это только на домашний роутер или тестовую лабу максимум.
Как раз по паролю -- это локальный периметр. Все остальное - доступ по ключу
> Как раз по паролю -- это локальный периметр. Все остальное - доступ
> по ключуи если ключи утекли - пиши три конверта, да?
Опенссш давно отверстие в безопасности. Светить им в открытом виде в интернете давно моветон. Только приватные сети спасут отцов российского интернета.
Да неужели, а что же безопаснее? уж не rdp ли
конечно rdp. Уязвимостей в реальном мире а не в лаборатории позволявших массово залогиниться в обход аутентификации ts gateway (так, а не голой оппой принято в сетях чуть посерьезнее подкроватных) пока не видали.А в вашем openssh уже минимум трижды любой желающий получал рута удаленно и без лишней возни. Причем первый раз феноменально - вообще ничего было не надо, сразу рут.
Ну а про то что rdp еще и сделали для людей а не для мартышек и мальчиков с феноменальной памятью (ладно невозможность подключиться к существующему шеллу, этого в ваших юниксах бай дезайн невозм... стоп-стоп-стоп, в юниксах бай дезайн как раз было можно - но нет больше этих ваших юниксов, но невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков... даже в прошлом веке это был какой-то полный позор) я уж и не говорю.
Ау, кстати, макое6ы - у вас тоже такое же позорище, да?
Впрочем, зачем вам удаленный доступ к вашему эйру, действительно, он же вот, всегда рядом, к ноге прикован.
ну зачем вы удалили ответ с рекламой шитлаба, пусть глупость каждого будет видна же...
> ну зачем вы удалили ответ с рекламой шитлаба, пусть глупость каждого будет
> видна же...Действительно. Что .пох, что.нах, два местных иксперда
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows
А это не один и тот же персонаж? Я в них путаюсь.
>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиковтебе мало tmux\screen?
зачем ты хочешь напрямую подключать отвалившуюся сессию к рабочей?
история с ситибанком тебя ничему не научила?
>>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков
> тебе мало tmux\screen?
> зачем ты хочешь напрямую подключать отвалившуюся сессию к рабочей?
> история с ситибанком тебя ничему не научила?Этот и не умел ничего. Ну кроме как в словесный понос.
>>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков
> тебе мало tmux\screen?зачем мне это г-нецо? Изначально вообще для другого придуманное, когда компьютеры были большие а терминал был один. Почему в винде мне не нужно с переподвыподвертом запускать еще одну программу чтобы в ней запустить программу которую мне может быть (а может быть нет) понадобится не потерять при обрыве соединения или увидеть из командировки что она там показывает, а у вас девятнадцатый век все никак не перейдет в двадцатый?
> зачем ты хочешь напрямую подключать отвалившуюся сессию к рабочей?
> история с ситибанком тебя ничему не научила?миллион историй с необходимостью переделывать уже сделанное потому что ой свет моргнул научил меня не пользоваться допотопными недотехнологиями где только возможно.
>>>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков
>> тебе мало tmux\screen?
> зачем мне это г-нецо? Изначально вообще для другого придуманное, когда компьютеры были
> большие а терминал был один. Почему в винде мне не нужно
> с переподвыподвертом запускать еще одну программу чтобы в ней запустить программу
> которую мне может быть (а может быть нет) понадобится не потерять
> при обрыве соединения или увидеть из командировки что она там показывает,
> а у вас девятнадцатый век все никак не перейдет в двадцатый?Ну, затем, что иногда таки надо "ехать" - и пофиг на цвет-и-форму шашечек, не?
ну я вот уже запустил неожиданно (или ожидаемо но второпях не сообразил что надо б соломки подложить) долгоиграющую или опасную задачу без тмукси - и вот как он ТЕПЕРЬ мне поможет доехать? Вот то и оно. Сиди и молись чтоб не отвалилось.И так у нас все, и с годами становится только хуже (привет замене хреново но работавших иксов на невменозный вафлянд).
Поэтому когда надо ехать - я сперва проверяю, нельзя ли на вендепоганой. И чаще всего оказывается что в общем-то и можно.
Проблемы ручных админов не перестают удивлять. То интернет отвалится, то бэкапы не сделали, то за скриптом некому посмотреть. Отправить скрипт в бэкграунд и отвязать от контролирующего терминала — и то не умеют. Ну что делать? Или в дворники, другого пути нет.
главное - не умеют, чайники, путешествовать во времени. Чтоб значить отправить кудатотам скрипт (ну конечно же - кроме скриптов тру админы ничего и не запускают) и от чего-то отвязать, за пять минут до того как свет уже моргнул.То ли дело неручные админы, чего им стоит-то просочиться в канализацию на десяток лье!
Ты реально такой феноменально т-й и не понимаешь что эта проблема напрочь, абсолютно, вообще вот 100% отсутствует в нормально спроектированной системе? И твои триста способов костылепердолинга и удаления гланд через задницу ну вообще никому неинтересны, когда можно без них обойтись.
Не знает про job сontrol в баше, но пытается кого-то учить, да ещё с таким апломбом. Эталонный кексперт опеннета.
> Не знает про job сontrol в баше,Как твой вджоп контрол в баше (command not found если что) поможет при отвалившемся соединении?
Или ты тоже эксперт в time travel?
В гугл кстати можно сходить в таком случае
https://superuser.com/questions/623432/transfer-current-comm...
> В гугл кстати можно сходить в таком случае
> https://superuser.com/questions/623432/transfer-current-comm...угу, и десятки сообщений о том как этот новый костыль нифига не работает и все ломает в комментариях.
А, ну да, местные девляпсы дальше вопроса ведь не читают никогда.
^Z
disown
screen
reptyrДа, сложно!
> ^Z
> disown
> screen
> reptyr
> Да, сложно!disown: Command not found.
х-й знает что это за новое г-но и зачем оно ненужно
> disown
> новоеНу рассмешил, шельмец!
То есть когда винду ломали на моей памяти раз 8 если она RDP в интернет светит - и это были разные уязвимости - мне приснилось? Да вы элитный врун!
> То есть когда винду ломали на моей памяти раз 8 если она
> RDP в интернет светит - и это были разные уязвимости -
> мне приснилось? Да вы элитный врун!"Уязвимостей в реальном мире а не в лаборатории позволявших массово залогиниться в обход аутентификации ts gateway (так, а не голой оппой принято в сетях чуть посерьезнее подкроватных) пока не видали."(С)
Поздравляю тебя, Шарик - ты:
а) Как раз один из тех, кто сий подвиг духа совершил
б) Читать тора-дицьённа не умеешь и аггришься на ключевые словаP.S. Безотносительно корректности исходного поста, да.
Да ладно. Вот, только на моей памяти. https://github.com/rapid7/metasploit-framework/blob/master/m...
> Да ладно. Вот, только на моей памяти. https://github.com/rapid7/metasploit-framework/blob/master/m...Охтыж. "Функциональная неграмотность" как болезнь современных IT'шников - "слова" при чтении вроде как понимают, а "смысл сколько-нибудь связного текста" - уже нет, чтение-и-реакция "по ключевым словам". Вот это:
"P.S. Безотносительно корректности исходного поста, да."(С)
оно про что и для кого?
> "Уязвимостей в реальном мире а не в лаборатории позволявших массово залогиниться в обход аутентификации ts gateway (так, а не голой оппой принято в сетях чуть посерьезнее подкроватных) пока не видали."(С)
> Поздравляю тебя, Шарик - ты:
> а) Как раз один из тех, кто сий подвиг духа совершил
> б) Читать тора-дицьённа не умеешь и аггришься на ключевые слова
>
> P.S. Безотносительно корректности исходного поста, да.Это связанный текст? Вы юридический или философский заканчивали?
> как болезнь современных IT'шников - "слова" при чтении вроде как понимают, а "смысл сколько-нибудь связного текста"
Ахахах) Ну, теперь я современных IT'шников понимаю) Только с Вашими высказываниями проблемы?
> "P.S. Безотносительно корректности исходного поста, да."(С)
оно про что и для кого?
Хороший вопрос... Черт знает.
Ну вот для малограмотных восстанавливаю последовательность:
1. Исходный пост - ПРАВИЛЬНО опубликованный через TS Gateway RDP не ломали.
2. Первый ответ - "Вот только на моей памяти опубликованный НЕ через TS Gateway RDP ломали 8 раз!"
3. Мой ответ - _безотносительно корректности исходного поста_ - читать №2 не умеет (RDP готовить скорее всего тоже)
4. И тут на мой №3 (А не №1) врываетесь Вы - "Да ломали этот TS Gateway, вот ссылка!"
Так понятно, или кроме "прожевать" еще и "переварить" надо? Мне не трудно - я могу и с картиночками, привык уже...
Другое дело! Вот теперь то понятно) А то ответили, как за столом у Канта.P.S TS Gateway не использовал, как и RDP, впрочем. Хорошо, если работает. Обычно предпочитаю SSH или VPN с VNC.
пф, так и ссш никто не ломал, если она правильно закрыта за впн и вобще настроена.
а то что сломали - дак то неправильно было установлено.
SSH внутри VPN.
> Да неужели, а что же безопаснее?Некоторые вешают на нестандартный порт и банят за простукивание портов. Можно ещё в ипсек в транспорт моде завернуть, если параноя сильно припекает.
'PasswordAuthentication no' и перебирай пароли хоть до второго пришествия, от xz это не спасёт, но от подобных проблем не спасёт и отсутствие openssh, вместо openssh может быть веб-сервер, да хоть само ядро, через TCP-стек
> 'PasswordAuthentication no'(сарказм) Так это же с ключами надо работать.
Спасибо GiHub-у за пропаганду но они задели разработчиков, а так-то количество неумеющих в ключи всё ещё велико.
> (сарказм) Так это же с ключами надо работать.Которые от подбора паролей вообще никак не защищены, и не остается ни малейшего следа если вдруг они неожиданно оказались не только у тебя.
Да, спасибо гитшлаку и его феноменально т-пым индусам за пропаганду очередного маразма.
И отдельно за использование ключей не по назначению - тут еще автор putty привет им передает - в этом случае и тырить ничего не пришлось, все в гитшляпе уже удобно уложено. Причем уверен что и по сей день там миллионы активно используемых актуальных ключей с дырой.
Ну, у меня на этот счет ключ ПЛЮС пароль. А putty после появления wsl2\включения ssh в win10\server 2019 как бы и нинахрена уже, так-то.
А шапочку у тебя из какой марки фольги?
И пароль - прикинь - не 123456! Параноик, как есть - параноик...
И от Сети отключен сервер и питание не подано.
Все отлично. Да вот только твой "хомяк" никому никогда никуда не тарахтел.
> И от Сети отключен сервер и питание не подано.
> Все отлично. Да вот только твой "хомяк" никому никогда никуда не тарахтел.Хомяк-то? Да он и мне не особо нужен, так-то - затем 'линукс-десктоп'(тм) на ем и держу.
Но результаты деятельности "профессиональных непараноиков" каких-нибудь коксов всё равно внушаиить.
> Которые от подбора паролей вообще никак не защищеныЕсли ты про пароль на ключ - сначала ключ должен утечь. Что уже интересная задача. А потом вторая интересная задача - подобрать пароль. Если ты считаешь две "линии обороны" недостаточными, почему одна из них тебя устраивает? Где логика, поясни?
> И отдельно за использование ключей не по назначению - тут еще автор putty
Что такое путти и какое отношение он имеет к разговору?
> Если ты про пароль на ключ - сначала ключ должен утечь. Что уже интересная задача.автор путти смотрит на тебя... с прищуром.
Причем прикол этой "интересной задачи" в том, что в отличие от подбора пароля - в логах у тебя ничего нету, а если и есть - то не так просто сопоставить то что есть с тем что на самом деле случилось.
> А потом вторая интересная задача - подобрать пароль.
а вот она совсем неинтересная - потому что подбирало бы оно твой пароль к учетке - были бы и таймауты, и даже правильный пароль не принимается с четвертой попытки без уточнения почему - рви сессию и заново начинай, и записи в логах. А тут - ничего. И подбирай хоть на миллионе кряк-серверов параллельно.
> Что такое путти и какое отношение он имеет к разговору?
а вот это, недорогой эксперт с опеннета, я оставлю тебе для самостоятельного изучения. Как именно можно, оказывается, внезапно прогадить ключи, которые даже и не покидали твоего подкроватного хоста.
И нет, от подобных ошибок не застрахован и швятой опенссх от швятых дол...ов из опенбсдвортим.
>> Если ты про пароль на ключ - сначала ключ должен утечь. Что уже интересная задача.
> автор путти смотрит на тебя... с прищуром.Да пусть смотрит, меня не смущает.
> Причем прикол этой "интересной задачи" в том, что в отличие от подбора пароля - в логах у тебя ничего нету
Не очень ясно почему тебя интересуют логи подбора пароля, ну хочешь я тебе вышлю логи за пару лет, вдруг тебя это утешит. Ещё менее понятно, как ты умудрился столько написать и так и не ответить на вопрос. Давай я тебе переформулирую попроще, чтобы ты понял. Ещё раз:
Почему утечка пароля (и в логах у тебя абсолютно валидный заход в момент утечки) лучше, чем утечка ключа (с момента утечки нужно ещё немного потрахаться с подбором). Спасибо.
> И нет, от подобных ошибок не застрахован и швятой опенссх от швятых дол...ов из опенбсдвортим.А пароли конечно застрахованы.
потому что "утечка пароля" - это из области очевидного-невероятного. Даже получив ненадолго доступ к чужой системе, ты лично вряд ли сумеешь скопировать оттуда пароль - даже если тебе сказочно повезет что именно в это время его кто-то набрал.А вот утечки закрытых ключей (или даже внезапное их появление там где они даже и не утекали, как в случае с неудачниками разок зашедшими с putty) - это регулярная реальность. Потому что с scp -r .ssh справится любой васян.
> А пароли конечно застрахованы.
Пароли или что-либо позволяющее внезапно-вычислить эти пароли - не лежат в общедоступной кучке на шитхабе. И в .ssh не лежат. Они вообще нигде не лежат по хорошему-то. А подбирать их - сложно и неэффективно, потому что логи, fail2ban, неполиткорректный blacklistd и таймауты.
В отличие от пароля к ключу, который - хоть обподбирайся, никто не увидит и не помешает.
> потому что "утечка пароля" - это из области очевидного-невероятного.это в какой вселенной? инфра на паролях это триллионы копий парольчиков в текстовичках, в лучшем случае обфусцированных, не говоря уже о том что при целенаправленной атаке ты сам его введёшь.
> А вот утечки закрытых ключей это регулярная реальность.
как и паролей.
> Пароли или что-либо позволяющее внезапно-вычислить эти пароли - не лежат в общедоступной кучке на шитхабе
Как и приватная часть ключа.
> И в .ssh не лежат.
ключи - внезапно! - там тоже не обязаны лежать. Более того, они как и пароли, совершенно не обязаны лежать на файлухе вообще.
> А подбирать их - сложно и неэффективно, потому что логи
Абсолютно просто и дёшево. Именно поэтому на ssh порты долбятся непрерывно. Неэффективно - да, но какое отношение это имеет к безопасности - не понимаю напрочь. Ещё раз повторю вопрос.
Есть пароль, который если утёк - сразу компрометация. Есть ключ, который если утёк - компрометация с небольшой задержкой. И то и другое можно организовать так, что на файлухе не хранится, а можно организовать так, что хранится (и как я ВИЖУ) инфраструктура на основе паролей КИШИТ файликами с паролями - по причине автоматизации. В чём ты видишь разницу? Ну если не упираться в логи бессмысленного долбления ботов, которое ни о чём никому не говорит.
> это в какой вселенной? инфра на паролях это триллионы копий парольчиков в текстовичках,значит твой парольчик от волшебного ключика - тоже в текстовичке, прям рядом с ключиком, я надеюсь?
И да, если текстовичок утек - то тот чувак и ключик тоже с собой уволок.
> Как и приватная часть ключа.
Как оказалось, это и необязательно.
> В чём ты видишь разницу?
при твоем подходе - ни в чем, непонятно только, зачем тебе вообще пароли. Так удобно ключики от всего прямо без паролей сложить кучкой.
При моем - что подобрать мало-мальски отличающийся от 123 пароль к реальной учетке практически нереально, а к ключу - можно подобрать любой вменяемый (а невменяемый ты быстро зае...шься набирать да и запоминать, и он окажется рядом с ключом плейнтекстом), потому что число попыток в секунду ограничено только мощностями и время на подбор у тебя безграничное, потому что своевременный экспайр и ротация ключей - это из области, к сожалению, ненаучной фантастики.
> значит твой парольчик от волшебного ключика - тоже в текстовичке, прям рядом с ключиком, я надеюсь?Надежды юношей питают.
> при твоем подходе - ни в чем, непонятно только, зачем тебе вообще пароли. Так удобно ключики от всего прямо без паролей сложить кучкой.
да как угодно. сравнивать утечку ключа нужно с утечкой пароля. но тебе оно понятное дел невыгодно - тогда внезапно выясняется что бьющиеся с подбором пароля боты это просто бьющиеся боты, а не свидетельство твоей предусмотрительности.
> При моем - что подобрать мало-мальски отличающийся от 123 пароль к реальной
> учетке практически нереальноСобственно подобрать ключ ещё сложнее
> а к ключу - можно подобрать
Ещё раз: если утёк пароль - тебе сразу хана, подбирать ничего не надо.
Кора дня, а представь что уязвимости пофиг что там у тебя написано. Тебе пришлют слишком большой пакетик выйдут за границы буфера например и всё. Делают на твоей машинке всё что хотят. Подумай об этом.
Ну да, ну да. Поэтому у меня тысячи серверов sshd в интернете светятся и что-то не вижу чтобы они стали частью ботнета?
Спасибо, вот и дальше не видь. В принципе, все так делают.
Ага нет антивируса нет вирусов. Твои тысячи серверов часть ботнета и ты никогда этого не узнаешь.
Не все админы такие беспомощные, жалкие рукожопы :)
Я знаю несколько которые если говорят что они не ботнет - то они готовы это доказать.
А вот ты таких не знаешь...ЗЫЖ: Но ... справедливости ради у них ssh напрямую тоже в инет не светит. Включая клаудные инстансы. У всех - по разному, включая вариант концептуально делающий то же, что любый поху ts-gateway :) но для ssh.
У меня ещё проще: нет VPNa - ... с Новым Годом!
Публично доступные сервисы лежат на домаин.наме, остальное - только членам клуба. \topic
> Не все админы такие беспомощные, жалкие рукожопы :)
> Я знаю несколько которые если говорят что они не ботнет - то
> они готовы это доказать.
> А вот ты таких не знаешь...
> ЗЫЖ: Но ... справедливости ради у них ssh напрямую тоже в инет
> не светит. Включая клаудные инстансы. У всех - по разному, включая
> вариант концептуально делающий то же, что любый поху ts-gateway :) но
> для ssh.
> У меня ещё проще: нет VPNa - ... с Новым Годом!
> Публично доступные сервисы лежат на домаин.наме, остальное - только членам клуба. \topicДа-да. Давеча вот с kernel.org говорили-и-доказывали.
> Да-да. Давеча вот с kernel.org говорили-и-доказывали.и ведь правду доказали - не ботнет! В смысле - даже ЭТИ джо оказались настолько неуловимыми, что уже поломанные их серверы НАХРЕН просто никому не сдались.
>> Да-да. Давеча вот с kernel.org говорили-и-доказывали.
> и ведь правду доказали - не ботнет! В смысле - даже ЭТИ
> джо оказались настолько неуловимыми, что уже поломанные их серверы НАХРЕН просто
> никому не сдались.Ну в общем "да" - зато теперь фоннаты могут рассказывать: "А знаете, почему они нас не заботнетили? Да по тому, что мы банда! Банда! БАНДА!!!"(Ц)
> У меня ещё проще: нет VPNa - ... с Новым Годом!и если сдох или в этой оппе мира заблокирован впн - новый год можно начинать отмечать в любое время года?
да что-то опоздали они конкретно - сколь наблюдаю за логами ссх - уже давно перебор идет с разных подсетей даже.. не тоЧто адресов.. юзер тот-же.. f2b только спасает или новоМодный INET6 - его , понятно не сканят ещё пока... ну и чтото среднее - неСтандартный порт. иногда не везёт только с ним..
Чтобы логи не засирались лучше порт SSH поднимать повыше, делать что-то типа 12322.
> Чтобы логи не засирались лучше порт SSH поднимать повыше, делать что-то типа
> 12322.да просто отключи логи, чего ты как маленький. А то будешь потом в три утра вспоминать с бодунища "12322 или 31222 ?"
P.S. о том почему критичные сервисы не просто так принято запускать на портах ниже 1024 - в следующей серии нашего мультика для подготовительной группы детского садика.
а что будет тогда если мапить 2222 на 22?
У них в подготовительной группе это еще не проходили.
Ничего, но и эффект на уровне плацебо. Ну отвалятся самые тупые боты, толку-то?
Интересно как это будет работать с IPv6.
Банить по этому "любимому" првайдерами /64.
а OTP не лучшее ли решение?
> а OTP не лучшее ли решение?сел телефон (или отжали в переулке) - и хрен на свой ценный локалхост попадешь. Так держать!
А s/key ведь немодно, немолодежно и обновить его так чтоб хотя бы решить проблему с вездессущими камерами некому уже давно.
OTP при особом желании можно хоть на бумажке столбиком посчитать, там всего лишь хеш от даты/времени и секрета.
> OTP при особом желании можно хоть на бумажке столбиком посчитать, там всего
> лишь хеш от даты/времени и секрета.а кто ж тебе секрет-то скажет? В этом-то вся и фишка. Если ты умеешь извлекать его из безумных qr-кодов - сразу так и скажи.
Чего там извлекать секрет? Там у стандартных totp/hotp простой формат, который глазами парсится из строки распознанной любой читалкой qr. А для особо упоротых - можно и сам qr глазами прочесть (я так не умею >.<‘)
OTP генератор не обязательно на телефоне должен быть. Большинство десктопных менеджеров паролей могут генерировать одноразку.
там весь смысл сводится к х-ю. Если мы про otp в его современном виде, когда его зачем-то стали использовать как второй фактор.Кстати, меня опять обошли на повороте - новая копро....корпо?а, не правильно было политика требует установки на телефон какого-то нового троянца, шлющего какие-то ср-ные пуши, блжд! Вместо гуглесовместимого totp который я так удачно заменил браузерным плагином.
К счастью пока есть шансы что низвлетит - оно уже все начальство зае...ло своими пушами среди ночи, которых никто не просил.
А замены s/key пригодной для дивного нового мира нет и не будет, 100%
Ну разьве что ты сам напиш...да ладно, кому я...
> а OTP не лучшее ли решение?Не всегда. Но если ты считаешь, что утеря приватной части ключа вероятна - есть токены.
так ведь - нету. Ну то есть либо фигня позволяющая добыть либо закрытый ключ либо эквивалент, либо нечто вообще неработающее.
Так, стоп, а раньше не было.
У меня после нескольких попыток даже при вводе правильного пароля не пускало.
> Так, стоп, а раньше не было.раньше можно было открыть новое соединение (на самом деле сразу два десятка) и радостно продолжать подбор.
Шёл 2024 год...
> срабатывающий при большом числе неудачных попыток соединений с одного IP-адреса.У меня 250 человек долбятся на сервер, часто неудачно, .... всë издос весь NAT банить?
Может они бы лучше реализовали Port Knocking из коробки?
На случайном порту или последовательности портов.
Но можно и на пакетном фильтре самому наваять.
> На случайном порту или последовательности портов.
> Но можно и на пакетном фильтре самому наваять.