Kilka prób zalogowania się przez SSH.

Witam!
Dzisiaj około godziny pierwszej w nocy chcąc zaktualizować dystrybucję Linuxa na tty1 [taki zwyczaj] coś mnie zaniepokoiło. Mianowicie, okazało się, że ktoś najwyraźniej próbował zalogować się na root'a poprzez ssh.



System wygląda na sprawny, jedynie wykrzaczył się thunar w pewnym momencie - najwyraźniej błąd ze strony karty i czytnika. Zerknąłem na historię ostatnich poleceń, wygląda w porządku - ostatnia komenda była ta, jaką wpisywałem o 22.23. Żadnych zmian. Poniżej podaję wynik polecenia ping:



System postawiony jest na architekturze amd64, ale to zdaje się nie mieć najmniejszego znaczenia. Wiadomości komunikatora dochodzą, jedyny problem sprawia lokalna strona internetowa, jednakże i tu wina leży po stronie serwera strony. Czy coś z tym zrobić? Może dodatkowo się zabezpieczyć poprzez iptables? Pytam się, ponieważ pierwszy raz z takim czymś się spotkałem

[chmooreck]

http://denyhosts.sourceforge.net/

Możesz przenieść SSH na jakiś niestandardowy port i upewnić się, że z zewnątrz nie wiadomo, co i na jakim porcie nasłuchuje (sprawdzisz to nmapem). W ten prosty sposób wytniesz dużą część ataków automatycznych.

Możesz też ustawić kilku(nasto)sekundowe czekanie po każdej nieudanej próbie logowania. Jak robot będzie mógł spróbować 12 haseł na minutę, to zbyt daleko nie zajdzie. 5 sekund czekania nie powinno specjalnie przeszkadzać użytkownikom.

No i oczywiście wyłączenie logowania jako root przez SSH, ale to podstawa.

Możesz też cyklicznie robić listę wszystkich (ważnych) plików w systemie wraz ich sumami md5. Jak plik ulegnie zmianie, zmieni się też jego suma, dzięki czemu będziesz o tym wiedział i wykryjesz wgrane trojany czy inne wirusy. Są do tego dedykowane narzędzia.

Gdzie znajdują się pliki konfiguracyjne ssh? Można prosić o nazwę tychże dedykowanych narzędzi? W ostateczności skorzystam z denyhosts - przejrzałem, i konfiguracja - jak dla mnie, usera niezbyt zaawansowanego zajęła by dość długo.

EDIT

Pliki mam, z konfiguracją sobie poradzę. Poprosiłbym tylko o te dedykowane narzędzia.

Człowieku, masz serwer SSH wystawiony na świat i nie potrafisz sobie znaleźć takich rzeczy w Google (lub napisać, jeśli trzeba)?

Ja rozumiem że każdy się musi nauczyć i nikt nie rodzi się wszechwiedzący. Ale jeżeli uczysz się administracji serwerami, to musisz też umieć sam sobie radzić z problemami, które możesz napotkać. Inaczej daleko nie zajdziesz.

Szukam, tyle że na forach. Nie prosiłem o gotową konfigurację, prosiłem tylko o nazwę. Tak więc, dziękuję.

Chyba żaden guru się do Ciebie włamywać nie próbował, skoro pozwala pingować swoje IP Chyba, że to był jakiś dynamiczny i już należy do kogoś innego heh

[Paweł Kraszewski]

1 polecenie last pokaże listę ostatnich logowań do systemu z informacją skąd, czy się powiodło, itd.
2 jeżeli widzisz listę nieudanych logowań, to prawdopodobnie atak się nie udał, bo pierwszą rzeczą po włamaniu jest kasowanie tego logu.
3 Jak koledzy pisali, zmień domyślny port usługi ssh na inny.
4 dodatkowo możesz zmienić sposób logowania z hasła na certyfikat, blokując logowanie na hasło - wtedy żaden bruteforce się nie uda.

[Arkadiusz Bednarczyk]

Dodam tylko jeszcze użyteczne narzędzie: fail2ban - po kilku nieudanych próbach odcina gościa... wszystko do konfiguracji

[WizardNumberNext]

Najprostsze metody są najlepsze!
Wyłącz możliwość logowania się za pomocą hasła i zostaw tylko klucz publiczny.
Przed zmianami najpierw wygeneruj klucz publiczny!

Kod: [Zaznacz]

ssh-keygen

ustaw jakieś silne, długie męczące hasło, wyglądające na przypadkowe.
skopiuj na server (ssh) do pliku

Kod: [Zaznacz]

~/.ssh/authorized_keys

możesz do tego użyć scp

Kod: [Zaznacz]

scp ~/.ssh/id_rsa.pub użyszkodnik@server:~/.ssh/authorized_keys

dopisując na końcu linijki użyszkodnik@nazwa_hosta
Pamiętaj, że jeżeli logujesz się do server'a całkowicie zdalnie z kompletnie zdalnej lokacji to musisz podać FQDN a nie samą nazwę hosta.
Jeżeli na serverze posiadasz NAS (SMB/CIFS czy też NFS czy inny sieciowy FS) to cały proces jest łatwiejszy, ale nie koniecznie szybszy.

Do tego jak już polecali inny FAIL2BAN i DENYHOSTS (drugie dla tych bardziej upierdliwych)