Victor Wagner <[email protected]> wrote: > On Thu, 23 Mar 2017 15:00:31 +0300 > Dmitry Alexandrov <[email protected]> wrote:
> > > Нельзя, Первое, что нужно делать с любой машиной, хоть тестовой, > > > хоть какой, это запрещать туда логин по ssh рутом > > > > Сколько это слышу, всегда было интересно, а какое-нибудь > > доказательное обоснование этому есть, или это из разряда эмпирических > > табу? Чем имя пользователя + ключ + пароль (записанные в одном > > месте) принципиально надежнее одного ключа? > Каждый лишний бит, который нужно подобрать атакующему, увеличивает > работу по brute-force вдвое. # iptables-save | grep SSH :SSH_CHK - [0:0] :SSH_LOG_DROP - [0:0] -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHK -A FORWARD -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHK -A SSH_CHK -m recent --set --name sshchk --mask 255.255.255.255 --rsource -A SSH_CHK -m recent --update --seconds 60 --hitcount 4 --name sshchk --mask 255.255.255.255 --rsource -j SSH_LOG_DROP -A SSH_CHK -m recent --update --seconds 1800 --hitcount 10 --name sshchk --mask 255.255.255.255 --rsource -j SSH_LOG_DROP -A SSH_LOG_DROP -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:SSH Brute force attack?: " --log-level 6 -A SSH_LOG_DROP -j DROP Увеличивает работу атакующего на годы, без лишних битов, которые надо хранить в голове. Но это не отменяет вопроса "а почему собстнаа ниизя root'ом" ? > Поэтому, скорее всего, если вдруг машина, 22-й порт которой случайно > или намеренно оказался доступным из сети, не пускает пользователей со > стандартными, широко распространенными именами (root будет первым на > попробовать), то атакующий пойдет дальше, искать более уязывимую машину. Срипту пофигу, оно железное и с веб-камеры. Может и неделю подбирать стандартные пароли. > Кроме того, если в конторе работают несколько человек, запрет ходить > рутом очень упрощает расследования инцидентов вида "кто сломал тестовую > систему?!". Поскольку в логах остается что заходил такой-то и делал > sudo. Или даже инцидентов вида "появилась такая вот хрень. Кому она > понадобилась?". По логам находишь кто из сотрудников поставил, и ему > спрашиваешь. Даа, в наш век развитых qemu/lxc/прости-господи-docker/systemd толпиться на одной тестовой машине??? Сдается мне, в консерватории что-то подправить надо. Идилия в виде "логов от sudo" - она для мануалов ubuntu хороша. Ну вот узришь ты в логах 3х юзеров с COMMAND=/bin/bash - кому по шапке то давать будем? Всем троим?
