Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Szia!

Rendben, természetesen nincs harag, de akkor légyszives fogalmazz kicsit
másképp legközelebb. Használj kevesebb ! jelet és olyanokat ne írj, hogy "
Remélem nem azon van összekötve a két gép". Nem vagyok mér gyerek. Másrészt
lehet, hogy csak a spam szűrő miatt nem kaptad meg időben a korábbi
hozzászólásaimat, mert akkor nem írtál volna ilyen javaslatokat.
Nem tartozom az informatikusok krémjéhez, de igyekszem felzárkózni. Nehéz
50-hez közel új szakmát tanulni...
Téged nagyon jó szakembernek tartalak, akitől sokat lehet tanulni. Oda
szoktam figyelni a hozzászólásaidra.

Témához visszatérve: két szerveren "behúztam" a külső lábakat, csak az
egyiken nem, mert este iszonyatosan lelassultak a próbálkozások. 10-15 perc
is eltelt kettő között. Kíváncsi vagyok ma mi lesz, aztán behúzom ezt a
lábat is.
Az azért érdekes, hogy nagyon gyorsan észrevették az sshguard indítását és
szinte azonnal reagáltak. Addig csak 6-7 ip címről jöttek a próbálkozások,
utána meg nem volt két egyforma. Gondolom szoftver csinálja...

Hosszútávú megoldás a problémára meg, ahogyan már írtátok, a portforwarding
lesz.

Köszönöm a tanácsokat, javaslatokat!

Üdv,
Venczel József

Sándor Fehér  ezt írta (időpont:
2018. szept. 20., Cs, 23:29):

> ok, de csak jó tanács volt és nem sértegetés.
>
> Bocs, de ne vedd így magadra, nem volt rossz szándékú a hsz.
>
> 2018. 09. 20. 15:43 keltezéssel, József Venczel írta:
>
> Kedves Sándor!
>
> Nos, pont az ilyen típusú hozzászólások miatt nem akartam elárulni, hogy
> clustert csinálok :D
>
> Nem vagyok profi informatikus, örülök, ha a kezdő szintet elérem, de hülye
> azért nem vagyok. ;o)
>
> Üdv,
> Venczel József
>
> Sándor Fehér  ezt írta (időpont:
> 2018. szept. 20., Cs, 15:39):
>
>> József!
>> >A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok.
>> Na ne már, a clusterednek miköze a publikus nethez?? Remélem nem azon van
>> összekötve a két gép. Cluster nethez másik hálózat kellene, egy teljesen
>> független. ( két kártya + keresztkábel static ip-vel is elég vagy a LAN)
>> Az ssh-t meg ne bindingeld a netre menő if-en.
>> Nem kell oda. vpn-en esetleg meg eléred, ha kell a belső hálózatról.
>>
>> No ekkor hogyan hekkelgetik? :)
>>
>> Nekem is clusteres proxmox-om van és olyat még nem tapasztaltam, hogy az
>> ssh "összeomlasztotta" volna.
>> DDOS esetén talán, de nem tudom.
>> Fail2ban sokat segítene ezen a problémán!!
>>
>>
>> 2018. 09. 20. 10:22 keltezéssel, József Venczel írta:
>>
>> Köszi a választ!
>>
>> Úgy látom, a fail2ban is nagyjából azt csinálja, mint az sshguard.
>> Szerinted melyik a jobb?
>> Az előbb az sshguard-ot nyomtam fel, most várok. Ha nem jön be, akkor
>> lecserélem a fail2ban-ra.
>>
>> A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok. (Miért
>> van az az érzésem, hogy ezt nem kellett volna elmondanom!?)
>> Az meg ssh-val kommunikál a node-ok között. Nem tudom működik-e, ha
>> megváltoztatom a portot. Egyébként normál körülmények között, persze nekem
>> is az az első, hogy elteszem a portot máshová.
>>
>> Üdv,
>> Venczel József
>>
>> Mészáros Zsolt  ezt írta (időpont: 2018. szept.
>> 20., Cs, 9:59):
>>
>>> Szia,
>>>
>>> Porteltolás és Fail2ban kombó jó lehet szerintem:
>>>
>>> https://www.booleanworld.com/protecting-ssh-fail2ban/
>>>
>>> 2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
>>>
>>> Szép jó reggelt Mindenkinek!
>>>
>>> Sshd konfigurálásában szeretném kérni a segítségeteket.
>>> Van egy Debian szerverem, aminek van egy publikus címe. Nincs rajta más,
>>> csak ssh.
>>> Ezen le van tiltva a root bejelentkezés és a jelszavas bejelentkezés is.
>>> Csak privát kulcssal lehet bejutni és úgy is csak egy usernek.
>>> A konfig megfelelő részei:
>>>
>>> LoginGraceTime 1m
>>> PermitRootLogin no
>>> StrictModes yes
>>> AllowUsers Walaky
>>> PasswordAuthentication no
>>> PermitEmptyPasswords no
>>> ChallengeResponseAuthentication no
>>>
>>> A többi alapértelmezés szerinti értéken van.
>>> Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
>>> véletlenszerű (a jelszava is természetesen, de ez most igazából
>>> lényegtelen).
>>>
>>> A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16
>>> óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre a
>>> rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
>>> A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel
>>> kizárom őket, mert fognak egy másik ip címet és folytatják arról.
>>> Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, mert
>>> később ezen az interface-en letiltom az ssh-t.
>>> Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>>>
>>> Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24
>>> órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta.
>>> Csakhogy a neten talált leírások épp az ellenkezőjét javasolják. Kíváncsi
>>> lennék a véleményetekre!
>>>
>>> Előre is köszönöm a szakértő hozzászólásokat!
>>>
>>> Üdv,
>>> Venczel József
>>>
>>>
>>> 

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Sándor Fehér]

ok, de csak jó tanács volt és nem sértegetés.

Bocs, de ne vedd így magadra, nem volt rossz szándékú a hsz.


2018. 09. 20. 15:43 keltezéssel, József Venczel írta:

Kedves Sándor!

Nos, pont az ilyen típusú hozzászólások miatt nem akartam elárulni, 
hogy clustert csinálok :D


Nem vagyok profi informatikus, örülök, ha a kezdő szintet elérem, de 
hülye azért nem vagyok. ;o)


Üdv,
Venczel József

Sándor Fehér > ezt írta (időpont: 
2018. szept. 20., Cs, 15:39):


József!

>A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok.
Na ne már, a clusterednek miköze a publikus nethez?? Remélem nem
azon van összekötve a két gép. Cluster nethez másik hálózat
kellene, egy teljesen független. ( két kártya + keresztkábel
static ip-vel is elég vagy a LAN)
Az ssh-t meg ne bindingeld a netre menő if-en.
Nem kell oda. vpn-en esetleg meg eléred, ha kell a belső hálózatról.

No ekkor hogyan hekkelgetik? :)

Nekem is clusteres proxmox-om van és olyat még nem tapasztaltam,
hogy az ssh "összeomlasztotta" volna.
DDOS esetén talán, de nem tudom.
Fail2ban sokat segítene ezen a problémán!!


2018. 09. 20. 10:22 keltezéssel, József Venczel írta:

Köszi a választ!

Úgy látom, a fail2ban is nagyjából azt csinálja, mint az
sshguard. Szerinted melyik a jobb?
Az előbb az sshguard-ot nyomtam fel, most várok. Ha nem jön be,
akkor lecserélem a fail2ban-ra.

A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok.
(Miért van az az érzésem, hogy ezt nem kellett volna elmondanom!?)
Az meg ssh-val kommunikál a node-ok között. Nem tudom működik-e,
ha megváltoztatom a portot. Egyébként normál körülmények között,
persze nekem is az az első, hogy elteszem a portot máshová.

Üdv,
Venczel József

Mészáros Zsolt mailto:li...@tigriselektro.hu>> ezt írta (időpont: 2018. szept.
20., Cs, 9:59):

Szia,

Porteltolás és Fail2ban kombó jó lehet szerintem:

https://www.booleanworld.com/protecting-ssh-fail2ban/


2018. 09. 20. 9:19 keltezéssel, József Venczel írta:

Szép jó reggelt Mindenkinek!

Sshd konfigurálásában szeretném kérni a segítségeteket.
Van egy Debian szerverem, aminek van egy publikus címe.
Nincs rajta más, csak ssh.
Ezen le van tiltva a root bejelentkezés és a jelszavas
bejelentkezés is. Csak privát kulcssal lehet bejutni és úgy
is csak egy usernek.
A konfig megfelelő részei:

LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
AllowUsers Walaky
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no

A többi alapértelmezés szerinti értéken van.
Talán annyi hozzátartozik még, hogy a felhasználónév
(Walaky) is véletlenszerű (a jelszava is természetesen, de
ez most igazából lényegtelen).

A legnagyobb gondom az, hogy ez így működik is, mert már
szeptember 16 óta folyamatosan próbálkoznak és nem jutottak
be, de ha telepítek erre a rendszerre egy Proxmoxot, akkor
az néhány óra múlva összeomlik.
A támadás 6-7 ip címről megy, tehát az nem opció, hogy
iptables-sel kizárom őket, mert fognak egy másik ip címet és
folytatják arról.
Az igazsághoz még hozzátartozik, hogy csak most van
szükségem erre, mert később ezen az interface-en letiltom az
ssh-t.
Mégis mit állítsak még be, hogy elvegyem a kedvüket a
próbálkozástól?

Arra gondoltam, ha a LoginGraceTime értékét megnövelném,
mondjuk 24 órára, akkor egy ip címről csak egyszer tudnának
próbálkozin naponta. Csakhogy a neten talált leírások épp az
ellenkezőjét javasolják. Kíváncsi lennék a véleményetekre!

Előre is köszönöm a szakértő hozzászólásokat!

Üdv,
Venczel József


___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan:http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/


-- 
Best regards,

Zsolt Meszaros
IT-Sysadmin

___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás:
http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Kedves Sándor!

Nos, pont az ilyen típusú hozzászólások miatt nem akartam elárulni, hogy
clustert csinálok :D

Nem vagyok profi informatikus, örülök, ha a kezdő szintet elérem, de hülye
azért nem vagyok. ;o)

Üdv,
Venczel József

Sándor Fehér  ezt írta (időpont:
2018. szept. 20., Cs, 15:39):

> József!
> >A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok.
> Na ne már, a clusterednek miköze a publikus nethez?? Remélem nem azon van
> összekötve a két gép. Cluster nethez másik hálózat kellene, egy teljesen
> független. ( két kártya + keresztkábel static ip-vel is elég vagy a LAN)
> Az ssh-t meg ne bindingeld a netre menő if-en.
> Nem kell oda. vpn-en esetleg meg eléred, ha kell a belső hálózatról.
>
> No ekkor hogyan hekkelgetik? :)
>
> Nekem is clusteres proxmox-om van és olyat még nem tapasztaltam, hogy az
> ssh "összeomlasztotta" volna.
> DDOS esetén talán, de nem tudom.
> Fail2ban sokat segítene ezen a problémán!!
>
>
> 2018. 09. 20. 10:22 keltezéssel, József Venczel írta:
>
> Köszi a választ!
>
> Úgy látom, a fail2ban is nagyjából azt csinálja, mint az sshguard.
> Szerinted melyik a jobb?
> Az előbb az sshguard-ot nyomtam fel, most várok. Ha nem jön be, akkor
> lecserélem a fail2ban-ra.
>
> A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok. (Miért
> van az az érzésem, hogy ezt nem kellett volna elmondanom!?)
> Az meg ssh-val kommunikál a node-ok között. Nem tudom működik-e, ha
> megváltoztatom a portot. Egyébként normál körülmények között, persze nekem
> is az az első, hogy elteszem a portot máshová.
>
> Üdv,
> Venczel József
>
> Mészáros Zsolt  ezt írta (időpont: 2018. szept.
> 20., Cs, 9:59):
>
>> Szia,
>>
>> Porteltolás és Fail2ban kombó jó lehet szerintem:
>>
>> https://www.booleanworld.com/protecting-ssh-fail2ban/
>>
>> 2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
>>
>> Szép jó reggelt Mindenkinek!
>>
>> Sshd konfigurálásában szeretném kérni a segítségeteket.
>> Van egy Debian szerverem, aminek van egy publikus címe. Nincs rajta más,
>> csak ssh.
>> Ezen le van tiltva a root bejelentkezés és a jelszavas bejelentkezés is.
>> Csak privát kulcssal lehet bejutni és úgy is csak egy usernek.
>> A konfig megfelelő részei:
>>
>> LoginGraceTime 1m
>> PermitRootLogin no
>> StrictModes yes
>> AllowUsers Walaky
>> PasswordAuthentication no
>> PermitEmptyPasswords no
>> ChallengeResponseAuthentication no
>>
>> A többi alapértelmezés szerinti értéken van.
>> Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
>> véletlenszerű (a jelszava is természetesen, de ez most igazából
>> lényegtelen).
>>
>> A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16
>> óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre a
>> rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
>> A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel
>> kizárom őket, mert fognak egy másik ip címet és folytatják arról.
>> Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, mert
>> később ezen az interface-en letiltom az ssh-t.
>> Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>>
>> Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24
>> órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta.
>> Csakhogy a neten talált leírások épp az ellenkezőjét javasolják. Kíváncsi
>> lennék a véleményetekre!
>>
>> Előre is köszönöm a szakértő hozzászólásokat!
>>
>> Üdv,
>> Venczel József
>>
>>
>> ___
>> Techinfo mailing listtechi...@lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>>
>> --
>> Best regards,
>> Zsolt Meszaros
>> IT-Sysadmin
>>
>> ___
>> Techinfo mailing list
>> Techinfo@lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>
>
> ___
> Techinfo mailing listtechi...@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Szia!

Köszönöm a tippeket!

Sajnos én sem tudom mitől omlott össze, mert a logokban nem találtam
semmit. A systemlog-ban nincs semmi, csak szolgáltatás indítások és a
fagyás utáni újraindítás nyomai.
Az auth.log-ból figyeltem fel a támadásokra/próbálkozásokra.

Hol nézhetném még meg? Örülnék, ha ki tudnám deríteni! Előre is köszönöm a
segítséget!

IPV6 egyáltalán nincs konfigurálva sehol.
A Proxmoxot Debian 9.4-re telepítettem. A legfrissebb 5.2.9-es Proxmox jött
le rá egyenest a gyártótól.
ISO telepítés nem megoldható, az nem tudja, ami nekem kell.
Egész nyáron stabilan működött egy 9.3-as Debianra telepített 3 node-os
cluster, pedig nyúztam rendesen. Most csak annyit változtattam a telepítés
módszerén, hogy a /var/log partíciónak 2GB-ot adtam.
Ezt csak azért, mert kísérleteztem a cluster hálózatban egy vacak TP-Link
switch-el és mivel az nem bírta a terhelést, felbomlott a cluster és
teleszórta a log partíciót.
2GB-ot viszont már nem telített meg semmilyen körülmények között több nap
alatt sem.

Ha van ötleted, megköszönöm! Nyugodtabb lennék én is ha tudnám miért omlott
össze.
Azért gondolom, hogy a támadással függhet össze, mert amióta telepítettem
az sshguard-ot, stabilan megy. Ez persze nem bizonyíték semmire, ezt én is
tudom.

Üdv,
Venczel József


Veres Sándor  ezt írta (időpont: 2018.
szept. 20., Cs, 14:49):

> 2018.09.20. 9:19 keltezéssel, József Venczel írta:
> > A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16
> > óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre
> > a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
> > A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel
> > kizárom őket, mert fognak egy másik ip címet és folytatják arról.
> > Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre,
> > mert később ezen az interface-en letiltom az ssh-t.
> > Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>
> Ha a szerver egy alap telepítés, és kapott IPv6 címet is, és publikusan
> is elérhet kívülről, akkor IPv-6-on is elérhetik, támadhatják. Ha nincs
> szükség az IPv6-ra, akkor érdemes letiltani az IPv6-ot a szerver külső
> interfészén.
> Nem értem. Ha a szerverre nem jutnak be ssh-n, jelszóval nem is lehet
> belépni ssh-n, akkor mitől omlik össze a Proxmox? A proxmox webes
> felülete nem érhető el véletlenül kívülről, akár IPv6-on? A proxmox-ot
> utólag telepíted a szerverre? Milyen Debian verzió? Ha megoldható, akkor
> érdemes ISO-ból telepíteni a Proxmox-ot, tiszta telepítésként.
>
> > Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24
> > órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta.
>
> Ezzel magadat nem tiltod ki?
>
> Az alábbi beállításokat
> Port 14963 # de inkább egy másikat, mert ezt már közzétettük :)
> AddressFamily inet
> ListenAddress 127.0.0.1
> ListenAddress [IP-cím amin elérhető]
> LoginGraceTime 10
> PubkeyAuthentication yes
> # Expect .ssh/authorized_keys2 to be disregarded by default in future.
> AuthorizedKeysFile  .ssh/authorized_keys .ssh/authorized_keys2
>
> És ezeket is érdemes lehet beállítani megfelelő értékkel: MaxAuthTries,
> MaxSessions
>
> Veres Sándor
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Sándor Fehér]

1: portforward routerrel megoldva

2: dedikált csatoló a proxmox-ba, aminek a proxmox oldalon NINCS IP 
CÍME. Bridge-ben van (openvswitch) és ez van "ráengedve" a publikus 
hálózatra. (ez esetben máris külön vetted a netszolgáltatástól és másik 
külső ip-n működik)



2018. 09. 20. 12:39 keltezéssel, József Venczel írta:

Szia!

Teljesen igazad van, de a Proxmoxon futó webszervert, ami kifelé is 
szolgáltat, hogyan oldod meg?


Üdv,
Venczel József

Molnar Peter mailto:moln...@petersoft.hu>> ezt 
írta (időpont: 2018. szept. 20., Cs, 12:34):


Hello!

 >A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok.
1. Tapasztalatok erdekelnenek.
2. Miert van a proxmox-nak publikus ip cime?
Alapvetoen ez a kozponti hibas lepes szerintem.
Minden halozatnak a felepitese valahogy igy kelenne kinezni:
internet->tuzfal->szerverek->lan
A proxmox a szervereknel van, igy a proxmoxnak, mivel kifele nem kell
szolgaltatnia, maradhat a 22-es ssh port.
A tuzfalon meg portatiranyitassal ha mindenkeppen kivulrol el kell
erni
a proxmoxot, a belso 22-es portra van atiranyitva a forgalom.
Proxmox-ot, s igazabol semmilyen szervert nem raknek ki a netre.
Kivetele a tuzfalszolgaltatast ellato gep, ami lehet software vagy
hardver is.


-- 
Tisztelettel:

Molnar Peter
http://www.petersoft.hu

___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Admin Altisk]

1024 alatt jobb esetben csak root nyitogat, így inkább oda.

On Thu, Sep 20, 2018 at 9:34 AM Molnar Peter  wrote:

> Hello!
>
> Első javaslatom: Az ssh-t tedd at egy veletlenszeru portra, mondjuk 14963
>
>
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Szia!

Teljesen igazad van, de a Proxmoxon futó webszervert, ami kifelé is
szolgáltat, hogyan oldod meg?

Üdv,
Venczel József

Molnar Peter  ezt írta (időpont: 2018. szept. 20.,
Cs, 12:34):

> Hello!
>
>  >A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok.
> 1. Tapasztalatok erdekelnenek.
> 2. Miert van a proxmox-nak publikus ip cime?
> Alapvetoen ez a kozponti hibas lepes szerintem.
> Minden halozatnak a felepitese valahogy igy kelenne kinezni:
> internet->tuzfal->szerverek->lan
> A proxmox a szervereknel van, igy a proxmoxnak, mivel kifele nem kell
> szolgaltatnia, maradhat a 22-es ssh port.
> A tuzfalon meg portatiranyitassal ha mindenkeppen kivulrol el kell erni
> a proxmoxot, a belso 22-es portra van atiranyitva a forgalom.
> Proxmox-ot, s igazabol semmilyen szervert nem raknek ki a netre.
> Kivetele a tuzfalszolgaltatast ellato gep, ami lehet software vagy
> hardver is.
>
>
> --
> Tisztelettel:
> Molnar Peter
> http://www.petersoft.hu
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Molnar Peter]

Hello!

>A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok.
1. Tapasztalatok erdekelnenek.
2. Miert van a proxmox-nak publikus ip cime?
Alapvetoen ez a kozponti hibas lepes szerintem.
Minden halozatnak a felepitese valahogy igy kelenne kinezni:
internet->tuzfal->szerverek->lan
A proxmox a szervereknel van, igy a proxmoxnak, mivel kifele nem kell 
szolgaltatnia, maradhat a 22-es ssh port.
A tuzfalon meg portatiranyitassal ha mindenkeppen kivulrol el kell erni 
a proxmoxot, a belso 22-es portra van atiranyitva a forgalom.

Proxmox-ot, s igazabol semmilyen szervert nem raknek ki a netre.
Kivetele a tuzfalszolgaltatast ellato gep, ami lehet software vagy 
hardver is.



--
Tisztelettel:
Molnar Peter
http://www.petersoft.hu

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Köszönöm! Jó kis összefoglaló írás!
Sajnos ez (Port Scan Detect) Microtic-es technológia, de biztos van rá
Linux-os megoldás is. Majd túrom kicsit a netet.

Üdv,
Venczel József

Sándor Fehér  ezt írta (időpont:
2018. szept. 20., Cs, 11:14):

>
> https://mum.mikrotik.com/presentations/VN17/presentation_4172_1494480243.pdf
>
> Ebben jobban le van írva.
>
> 2018. 09. 20. 11:04 keltezéssel, József Venczel írta:
>
> Szia!
>
> A PSD érdekelne, az micsoda?
>
> Üdv,
> Venczel József
>
>
> Sándor Fehér  ezt írta (időpont:
> 2018. szept. 20., Cs, 10:59):
>
>> +1 évek óta így csinálom. másik port + fail2ban
>>
>> Mikrotiknél meg vagy tiltom a szolgáltatást(mert ált nem kell), vagy csak
>> benti ip-ről hagyom a logint és ott is másik portot adok neki. >> itt még
>> PSD-t  alkalmazok pluszban, így a portscan is felismeri és nem tudják a
>> portot "kitalálni"
>>
>> Kinntről ssh-t nem engedek mikrotik esetében, sőt a winboxot sem.
>>
>> 2018. 09. 20. 9:49 keltezéssel, Mészáros Zsolt írta:
>>
>> Szia,
>>
>> Porteltolás és Fail2ban kombó jó lehet szerintem:
>>
>> https://www.booleanworld.com/protecting-ssh-fail2ban/
>>
>> 2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
>>
>> Szép jó reggelt Mindenkinek!
>>
>> Sshd konfigurálásában szeretném kérni a segítségeteket.
>> Van egy Debian szerverem, aminek van egy publikus címe. Nincs rajta más,
>> csak ssh.
>> Ezen le van tiltva a root bejelentkezés és a jelszavas bejelentkezés is.
>> Csak privát kulcssal lehet bejutni és úgy is csak egy usernek.
>> A konfig megfelelő részei:
>>
>> LoginGraceTime 1m
>> PermitRootLogin no
>> StrictModes yes
>> AllowUsers Walaky
>> PasswordAuthentication no
>> PermitEmptyPasswords no
>> ChallengeResponseAuthentication no
>>
>> A többi alapértelmezés szerinti értéken van.
>> Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
>> véletlenszerű (a jelszava is természetesen, de ez most igazából
>> lényegtelen).
>>
>> A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16
>> óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre a
>> rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
>> A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel
>> kizárom őket, mert fognak egy másik ip címet és folytatják arról.
>> Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, mert
>> később ezen az interface-en letiltom az ssh-t.
>> Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>>
>> Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24
>> órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta.
>> Csakhogy a neten talált leírások épp az ellenkezőjét javasolják. Kíváncsi
>> lennék a véleményetekre!
>>
>> Előre is köszönöm a szakértő hozzászólásokat!
>>
>> Üdv,
>> Venczel József
>>
>>
>> ___
>> Techinfo mailing listtechi...@lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>>
>> --
>> Best regards,
>> Zsolt Meszaros
>> IT-Sysadmin
>>
>>
>>
>> ___
>> Techinfo mailing listtechi...@lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>>
>> ___
>> Techinfo mailing list
>> Techinfo@lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>
>
> ___
> Techinfo mailing listtechi...@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Sándor Fehér]

https://mum.mikrotik.com/presentations/VN17/presentation_4172_1494480243.pdf 



Ebben jobban le van írva.


2018. 09. 20. 11:04 keltezéssel, József Venczel írta:

Szia!

A PSD érdekelne, az micsoda?

Üdv,
Venczel József


Sándor Fehér > ezt írta (időpont: 
2018. szept. 20., Cs, 10:59):


+1 évek óta így csinálom. másik port + fail2ban

Mikrotiknél meg vagy tiltom a szolgáltatást(mert ált nem kell),
vagy csak benti ip-ről hagyom a logint és ott is másik portot adok
neki. >> itt még PSD-t  alkalmazok pluszban, így a portscan is
felismeri és nem tudják a portot "kitalálni"

Kinntről ssh-t nem engedek mikrotik esetében, sőt a winboxot sem.


2018. 09. 20. 9:49 keltezéssel, Mészáros Zsolt írta:


Szia,

Porteltolás és Fail2ban kombó jó lehet szerintem:

https://www.booleanworld.com/protecting-ssh-fail2ban/


2018. 09. 20. 9:19 keltezéssel, József Venczel írta:

Szép jó reggelt Mindenkinek!

Sshd konfigurálásában szeretném kérni a segítségeteket.
Van egy Debian szerverem, aminek van egy publikus címe. Nincs
rajta más, csak ssh.
Ezen le van tiltva a root bejelentkezés és a jelszavas
bejelentkezés is. Csak privát kulcssal lehet bejutni és úgy is
csak egy usernek.
A konfig megfelelő részei:

LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
AllowUsers Walaky
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no

A többi alapértelmezés szerinti értéken van.
Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
véletlenszerű (a jelszava is természetesen, de ez most igazából
lényegtelen).

A legnagyobb gondom az, hogy ez így működik is, mert már
szeptember 16 óta folyamatosan próbálkoznak és nem jutottak be,
de ha telepítek erre a rendszerre egy Proxmoxot, akkor az néhány
óra múlva összeomlik.
A támadás 6-7 ip címről megy, tehát az nem opció, hogy
iptables-sel kizárom őket, mert fognak egy másik ip címet és
folytatják arról.
Az igazsághoz még hozzátartozik, hogy csak most van szükségem
erre, mert később ezen az interface-en letiltom az ssh-t.
Mégis mit állítsak még be, hogy elvegyem a kedvüket a
próbálkozástól?

Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk
24 órára, akkor egy ip címről csak egyszer tudnának próbálkozin
naponta. Csakhogy a neten talált leírások épp az ellenkezőjét
javasolják. Kíváncsi lennék a véleményetekre!

Előre is köszönöm a szakértő hozzászólásokat!

Üdv,
Venczel József


___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan:http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/


-- 
Best regards,

Zsolt Meszaros
IT-Sysadmin


___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan:http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Sándor Fehér]

Port Scan Detector

https://wiki.mikrotik.com/wiki/Drop_port_scanners

Pár szabály lényegében és egy anti DDOS-t tud.


2018. 09. 20. 11:04 keltezéssel, József Venczel írta:

Szia!

A PSD érdekelne, az micsoda?

Üdv,
Venczel József


Sándor Fehér > ezt írta (időpont: 
2018. szept. 20., Cs, 10:59):


+1 évek óta így csinálom. másik port + fail2ban

Mikrotiknél meg vagy tiltom a szolgáltatást(mert ált nem kell),
vagy csak benti ip-ről hagyom a logint és ott is másik portot adok
neki. >> itt még PSD-t  alkalmazok pluszban, így a portscan is
felismeri és nem tudják a portot "kitalálni"

Kinntről ssh-t nem engedek mikrotik esetében, sőt a winboxot sem.


2018. 09. 20. 9:49 keltezéssel, Mészáros Zsolt írta:


Szia,

Porteltolás és Fail2ban kombó jó lehet szerintem:

https://www.booleanworld.com/protecting-ssh-fail2ban/


2018. 09. 20. 9:19 keltezéssel, József Venczel írta:

Szép jó reggelt Mindenkinek!

Sshd konfigurálásában szeretném kérni a segítségeteket.
Van egy Debian szerverem, aminek van egy publikus címe. Nincs
rajta más, csak ssh.
Ezen le van tiltva a root bejelentkezés és a jelszavas
bejelentkezés is. Csak privát kulcssal lehet bejutni és úgy is
csak egy usernek.
A konfig megfelelő részei:

LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
AllowUsers Walaky
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no

A többi alapértelmezés szerinti értéken van.
Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
véletlenszerű (a jelszava is természetesen, de ez most igazából
lényegtelen).

A legnagyobb gondom az, hogy ez így működik is, mert már
szeptember 16 óta folyamatosan próbálkoznak és nem jutottak be,
de ha telepítek erre a rendszerre egy Proxmoxot, akkor az néhány
óra múlva összeomlik.
A támadás 6-7 ip címről megy, tehát az nem opció, hogy
iptables-sel kizárom őket, mert fognak egy másik ip címet és
folytatják arról.
Az igazsághoz még hozzátartozik, hogy csak most van szükségem
erre, mert később ezen az interface-en letiltom az ssh-t.
Mégis mit állítsak még be, hogy elvegyem a kedvüket a
próbálkozástól?

Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk
24 órára, akkor egy ip címről csak egyszer tudnának próbálkozin
naponta. Csakhogy a neten talált leírások épp az ellenkezőjét
javasolják. Kíváncsi lennék a véleményetekre!

Előre is köszönöm a szakértő hozzászólásokat!

Üdv,
Venczel József


___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan:http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/


-- 
Best regards,

Zsolt Meszaros
IT-Sysadmin


___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan:http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Szia!

A PSD érdekelne, az micsoda?

Üdv,
Venczel József


Sándor Fehér  ezt írta (időpont:
2018. szept. 20., Cs, 10:59):

> +1 évek óta így csinálom. másik port + fail2ban
>
> Mikrotiknél meg vagy tiltom a szolgáltatást(mert ált nem kell), vagy csak
> benti ip-ről hagyom a logint és ott is másik portot adok neki. >> itt még
> PSD-t  alkalmazok pluszban, így a portscan is felismeri és nem tudják a
> portot "kitalálni"
>
> Kinntről ssh-t nem engedek mikrotik esetében, sőt a winboxot sem.
>
> 2018. 09. 20. 9:49 keltezéssel, Mészáros Zsolt írta:
>
> Szia,
>
> Porteltolás és Fail2ban kombó jó lehet szerintem:
>
> https://www.booleanworld.com/protecting-ssh-fail2ban/
>
> 2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
>
> Szép jó reggelt Mindenkinek!
>
> Sshd konfigurálásában szeretném kérni a segítségeteket.
> Van egy Debian szerverem, aminek van egy publikus címe. Nincs rajta más,
> csak ssh.
> Ezen le van tiltva a root bejelentkezés és a jelszavas bejelentkezés is.
> Csak privát kulcssal lehet bejutni és úgy is csak egy usernek.
> A konfig megfelelő részei:
>
> LoginGraceTime 1m
> PermitRootLogin no
> StrictModes yes
> AllowUsers Walaky
> PasswordAuthentication no
> PermitEmptyPasswords no
> ChallengeResponseAuthentication no
>
> A többi alapértelmezés szerinti értéken van.
> Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
> véletlenszerű (a jelszava is természetesen, de ez most igazából
> lényegtelen).
>
> A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16 óta
> folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre a
> rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
> A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel
> kizárom őket, mert fognak egy másik ip címet és folytatják arról.
> Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, mert
> később ezen az interface-en letiltom az ssh-t.
> Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>
> Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24 órára,
> akkor egy ip címről csak egyszer tudnának próbálkozin naponta. Csakhogy a
> neten talált leírások épp az ellenkezőjét javasolják. Kíváncsi lennék a
> véleményetekre!
>
> Előre is köszönöm a szakértő hozzászólásokat!
>
> Üdv,
> Venczel József
>
>
> ___
> Techinfo mailing listtechi...@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
> --
> Best regards,
> Zsolt Meszaros
> IT-Sysadmin
>
>
>
> ___
> Techinfo mailing listtechi...@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Szépen elkezdett működni az sshguard!
Egymás után tiltja ki az ip címeket. Ez biztató.

Üdv,
Venczel József

József Venczel  ezt írta (időpont: 2018. szept. 20.,
Cs, 10:26):

> Igen, ez jó ötlet!
> Valami ilyesmire gondoltam én is, csak VPN-t még nem csináltam sosem,
> úgyhogy ezt mos nem tudnám gyorsan kivitelezni.
>
> Üdv,
> Venczel József
>
> Mészáros Zsolt  ezt írta (időpont: 2018. szept.
> 20., Cs, 10:04):
>
>> Erre még az jutott eszembe, hogy mi lenne, ha a másik oldalról fognád
>> meg a dolgot, azaz:
>>
>> SSH nincs kiengedve a netre. Mivel úgyis konfigolni kell a Proxmoxot is
>> így lehet csinálnék egy VPN kiszolgálót amin keresztül hazamegyek
>> biztonságosan. SSH, Proxmox, DB, és minden más meg localban menne.
>>
>>
>> 2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
>> >
>> > A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16
>> > óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre
>> > a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
>>
>> --
>> Best regards,
>> Zsolt Meszaros
>> IT-Sysadmin
>>
>> ___
>> Techinfo mailing list
>> Techinfo@lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Sándor Fehér]

József!

>A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok.
Na ne már, a clusterednek miköze a publikus nethez?? Remélem nem azon 
van összekötve a két gép. Cluster nethez másik hálózat kellene, egy 
teljesen független. ( két kártya + keresztkábel static ip-vel is elég 
vagy a LAN)

Az ssh-t meg ne bindingeld a netre menő if-en.
Nem kell oda. vpn-en esetleg meg eléred, ha kell a belső hálózatról.

No ekkor hogyan hekkelgetik? :)

Nekem is clusteres proxmox-om van és olyat még nem tapasztaltam, hogy az 
ssh "összeomlasztotta" volna.

DDOS esetén talán, de nem tudom.
Fail2ban sokat segítene ezen a problémán!!


2018. 09. 20. 10:22 keltezéssel, József Venczel írta:

Köszi a választ!

Úgy látom, a fail2ban is nagyjából azt csinálja, mint az sshguard. 
Szerinted melyik a jobb?
Az előbb az sshguard-ot nyomtam fel, most várok. Ha nem jön be, akkor 
lecserélem a fail2ban-ra.


A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok. 
(Miért van az az érzésem, hogy ezt nem kellett volna elmondanom!?)
Az meg ssh-val kommunikál a node-ok között. Nem tudom működik-e, ha 
megváltoztatom a portot. Egyébként normál körülmények között, persze 
nekem is az az első, hogy elteszem a portot máshová.


Üdv,
Venczel József

Mészáros Zsolt > ezt írta (időpont: 2018. szept. 20., 
Cs, 9:59):


Szia,

Porteltolás és Fail2ban kombó jó lehet szerintem:

https://www.booleanworld.com/protecting-ssh-fail2ban/


2018. 09. 20. 9:19 keltezéssel, József Venczel írta:

Szép jó reggelt Mindenkinek!

Sshd konfigurálásában szeretném kérni a segítségeteket.
Van egy Debian szerverem, aminek van egy publikus címe. Nincs
rajta más, csak ssh.
Ezen le van tiltva a root bejelentkezés és a jelszavas
bejelentkezés is. Csak privát kulcssal lehet bejutni és úgy is
csak egy usernek.
A konfig megfelelő részei:

LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
AllowUsers Walaky
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no

A többi alapértelmezés szerinti értéken van.
Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
véletlenszerű (a jelszava is természetesen, de ez most igazából
lényegtelen).

A legnagyobb gondom az, hogy ez így működik is, mert már
szeptember 16 óta folyamatosan próbálkoznak és nem jutottak be,
de ha telepítek erre a rendszerre egy Proxmoxot, akkor az néhány
óra múlva összeomlik.
A támadás 6-7 ip címről megy, tehát az nem opció, hogy
iptables-sel kizárom őket, mert fognak egy másik ip címet és
folytatják arról.
Az igazsághoz még hozzátartozik, hogy csak most van szükségem
erre, mert később ezen az interface-en letiltom az ssh-t.
Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?

Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk
24 órára, akkor egy ip címről csak egyszer tudnának próbálkozin
naponta. Csakhogy a neten talált leírások épp az ellenkezőjét
javasolják. Kíváncsi lennék a véleményetekre!

Előre is köszönöm a szakértő hozzászólásokat!

Üdv,
Venczel József


___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan:http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/


-- 
Best regards,

Zsolt Meszaros
IT-Sysadmin

___
Techinfo mailing list
Techinfo@lista.sulinet.hu 
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Igen, ez jó ötlet!
Valami ilyesmire gondoltam én is, csak VPN-t még nem csináltam sosem,
úgyhogy ezt mos nem tudnám gyorsan kivitelezni.

Üdv,
Venczel József

Mészáros Zsolt  ezt írta (időpont: 2018. szept.
20., Cs, 10:04):

> Erre még az jutott eszembe, hogy mi lenne, ha a másik oldalról fognád
> meg a dolgot, azaz:
>
> SSH nincs kiengedve a netre. Mivel úgyis konfigolni kell a Proxmoxot is
> így lehet csinálnék egy VPN kiszolgálót amin keresztül hazamegyek
> biztonságosan. SSH, Proxmox, DB, és minden más meg localban menne.
>
>
> 2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
> >
> > A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16
> > óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre
> > a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
>
> --
> Best regards,
> Zsolt Meszaros
> IT-Sysadmin
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Sándor Fehér]

+1 évek óta így csinálom. másik port + fail2ban

Mikrotiknél meg vagy tiltom a szolgáltatást(mert ált nem kell), vagy 
csak benti ip-ről hagyom a logint és ott is másik portot adok neki. >> 
itt még PSD-t  alkalmazok pluszban, így a portscan is felismeri és nem 
tudják a portot "kitalálni"


Kinntről ssh-t nem engedek mikrotik esetében, sőt a winboxot sem.


2018. 09. 20. 9:49 keltezéssel, Mészáros Zsolt írta:


Szia,

Porteltolás és Fail2ban kombó jó lehet szerintem:

https://www.booleanworld.com/protecting-ssh-fail2ban/


2018. 09. 20. 9:19 keltezéssel, József Venczel írta:

Szép jó reggelt Mindenkinek!

Sshd konfigurálásában szeretném kérni a segítségeteket.
Van egy Debian szerverem, aminek van egy publikus címe. Nincs rajta 
más, csak ssh.
Ezen le van tiltva a root bejelentkezés és a jelszavas bejelentkezés 
is. Csak privát kulcssal lehet bejutni és úgy is csak egy usernek.

A konfig megfelelő részei:

LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
AllowUsers Walaky
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no

A többi alapértelmezés szerinti értéken van.
Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is 
véletlenszerű (a jelszava is természetesen, de ez most igazából 
lényegtelen).


A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 
16 óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek 
erre a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel 
kizárom őket, mert fognak egy másik ip címet és folytatják arról.
Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, 
mert később ezen az interface-en letiltom az ssh-t.

Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?

Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24 
órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta. 
Csakhogy a neten talált leírások épp az ellenkezőjét javasolják. 
Kíváncsi lennék a véleményetekre!


Előre is köszönöm a szakértő hozzászólásokat!

Üdv,
Venczel József


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás:http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan:http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/


--
Best regards,
Zsolt Meszaros
IT-Sysadmin


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Köszi a választ!

Úgy látom, a fail2ban is nagyjából azt csinálja, mint az sshguard.
Szerinted melyik a jobb?
Az előbb az sshguard-ot nyomtam fel, most várok. Ha nem jön be, akkor
lecserélem a fail2ban-ra.

A porteltolás azért nem jó nekem, mert Proxmox clustert csinálok. (Miért
van az az érzésem, hogy ezt nem kellett volna elmondanom!?)
Az meg ssh-val kommunikál a node-ok között. Nem tudom működik-e, ha
megváltoztatom a portot. Egyébként normál körülmények között, persze nekem
is az az első, hogy elteszem a portot máshová.

Üdv,
Venczel József

Mészáros Zsolt  ezt írta (időpont: 2018. szept.
20., Cs, 9:59):

> Szia,
>
> Porteltolás és Fail2ban kombó jó lehet szerintem:
>
> https://www.booleanworld.com/protecting-ssh-fail2ban/
>
> 2018. 09. 20. 9:19 keltezéssel, József Venczel írta:
>
> Szép jó reggelt Mindenkinek!
>
> Sshd konfigurálásában szeretném kérni a segítségeteket.
> Van egy Debian szerverem, aminek van egy publikus címe. Nincs rajta más,
> csak ssh.
> Ezen le van tiltva a root bejelentkezés és a jelszavas bejelentkezés is.
> Csak privát kulcssal lehet bejutni és úgy is csak egy usernek.
> A konfig megfelelő részei:
>
> LoginGraceTime 1m
> PermitRootLogin no
> StrictModes yes
> AllowUsers Walaky
> PasswordAuthentication no
> PermitEmptyPasswords no
> ChallengeResponseAuthentication no
>
> A többi alapértelmezés szerinti értéken van.
> Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
> véletlenszerű (a jelszava is természetesen, de ez most igazából
> lényegtelen).
>
> A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16 óta
> folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre a
> rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
> A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel
> kizárom őket, mert fognak egy másik ip címet és folytatják arról.
> Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, mert
> később ezen az interface-en letiltom az ssh-t.
> Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>
> Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24 órára,
> akkor egy ip címről csak egyszer tudnának próbálkozin naponta. Csakhogy a
> neten talált leírások épp az ellenkezőjét javasolják. Kíváncsi lennék a
> véleményetekre!
>
> Előre is köszönöm a szakértő hozzászólásokat!
>
> Üdv,
> Venczel József
>
>
> ___
> Techinfo mailing listtechi...@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
> --
> Best regards,
> Zsolt Meszaros
> IT-Sysadmin
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Veres Sándor]

2018.09.20. 9:19 keltezéssel, József Venczel írta:
A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16 
óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre 
a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel 
kizárom őket, mert fognak egy másik ip címet és folytatják arról.
Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, 
mert később ezen az interface-en letiltom az ssh-t.

Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?


Ha a szerver egy alap telepítés, és kapott IPv6 címet is, és publikusan 
is elérhet kívülről, akkor IPv-6-on is elérhetik, támadhatják. Ha nincs 
szükség az IPv6-ra, akkor érdemes letiltani az IPv6-ot a szerver külső 
interfészén.
Nem értem. Ha a szerverre nem jutnak be ssh-n, jelszóval nem is lehet 
belépni ssh-n, akkor mitől omlik össze a Proxmox? A proxmox webes 
felülete nem érhető el véletlenül kívülről, akár IPv6-on? A proxmox-ot 
utólag telepíted a szerverre? Milyen Debian verzió? Ha megoldható, akkor 
érdemes ISO-ból telepíteni a Proxmox-ot, tiszta telepítésként.


Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24 
órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta.


Ezzel magadat nem tiltod ki?

Az alábbi beállításokat
Port 14963 # de inkább egy másikat, mert ezt már közzétettük :)
AddressFamily inet
ListenAddress 127.0.0.1
ListenAddress [IP-cím amin elérhető]
LoginGraceTime 10
PubkeyAuthentication yes
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
AuthorizedKeysFile  .ssh/authorized_keys .ssh/authorized_keys2

És ezeket is érdemes lehet beállítani megfelelő értékkel: MaxAuthTries, 
MaxSessions


Veres Sándor

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Mészáros Zsolt]

Erre még az jutott eszembe, hogy mi lenne, ha a másik oldalról fognád 
meg a dolgot, azaz:


SSH nincs kiengedve a netre. Mivel úgyis konfigolni kell a Proxmoxot is 
így lehet csinálnék egy VPN kiszolgálót amin keresztül hazamegyek 
biztonságosan. SSH, Proxmox, DB, és minden más meg localban menne.



2018. 09. 20. 9:19 keltezéssel, József Venczel írta:


A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16 
óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre 
a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.


--
Best regards,
Zsolt Meszaros
IT-Sysadmin

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Veres Sándor]

2018.09.20. 9:34 keltezéssel, József Venczel írta:
Ok, közben találtam ezt a csodát és telepítettem: 
https://www.sshguard.net/

Hátha!


A fail22ban is hasznos lehet, de szerintem nem ajánlott együtt használni 
az sshguard-dal.


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Mészáros Zsolt]

Szia,

Porteltolás és Fail2ban kombó jó lehet szerintem:

https://www.booleanworld.com/protecting-ssh-fail2ban/


2018. 09. 20. 9:19 keltezéssel, József Venczel írta:

Szép jó reggelt Mindenkinek!

Sshd konfigurálásában szeretném kérni a segítségeteket.
Van egy Debian szerverem, aminek van egy publikus címe. Nincs rajta 
más, csak ssh.
Ezen le van tiltva a root bejelentkezés és a jelszavas bejelentkezés 
is. Csak privát kulcssal lehet bejutni és úgy is csak egy usernek.

A konfig megfelelő részei:

LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
AllowUsers Walaky
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no

A többi alapértelmezés szerinti értéken van.
Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is 
véletlenszerű (a jelszava is természetesen, de ez most igazából 
lényegtelen).


A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16 
óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre 
a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel 
kizárom őket, mert fognak egy másik ip címet és folytatják arról.
Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, 
mert később ezen az interface-en letiltom az ssh-t.

Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?

Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24 
órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta. 
Csakhogy a neten talált leírások épp az ellenkezőjét javasolják. 
Kíváncsi lennék a véleményetekre!


Előre is köszönöm a szakértő hozzászólásokat!

Üdv,
Venczel József


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


--
Best regards,
Zsolt Meszaros
IT-Sysadmin

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[József Venczel]

Ok, közben találtam ezt a csodát és telepítettem: https://www.sshguard.net/
Hátha!

Üdv,
Venczel József

József Venczel  ezt írta (időpont: 2018. szept. 20.,
Cs, 9:19):

> Szép jó reggelt Mindenkinek!
>
> Sshd konfigurálásában szeretném kérni a segítségeteket.
> Van egy Debian szerverem, aminek van egy publikus címe. Nincs rajta más,
> csak ssh.
> Ezen le van tiltva a root bejelentkezés és a jelszavas bejelentkezés is.
> Csak privát kulcssal lehet bejutni és úgy is csak egy usernek.
> A konfig megfelelő részei:
>
> LoginGraceTime 1m
> PermitRootLogin no
> StrictModes yes
> AllowUsers Walaky
> PasswordAuthentication no
> PermitEmptyPasswords no
> ChallengeResponseAuthentication no
>
> A többi alapértelmezés szerinti értéken van.
> Talán annyi hozzátartozik még, hogy a felhasználónév (Walaky) is
> véletlenszerű (a jelszava is természetesen, de ez most igazából
> lényegtelen).
>
> A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16 óta
> folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre a
> rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
> A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel
> kizárom őket, mert fognak egy másik ip címet és folytatják arról.
> Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, mert
> később ezen az interface-en letiltom az ssh-t.
> Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
>
> Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24 órára,
> akkor egy ip címről csak egyszer tudnának próbálkozin naponta. Csakhogy a
> neten talált leírások épp az ellenkezőjét javasolják. Kíváncsi lennék a
> véleményetekre!
>
> Előre is köszönöm a szakértő hozzászólásokat!
>
> Üdv,
> Venczel József
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Molnar Peter]

Hello!

Első javaslatom: Az ssh-t tedd at egy veletlenszeru portra, mondjuk 14963

Ha nem szkennelik at a rendszert, akkor nem is fogjak tamadni.

Ha celzottan akarnak teged tamadni, akkor ez nem fog segiteni.


--
Tisztelettel:
Molnar Peter
http://www.petersoft.hu

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/