2018.09.20. 9:19 keltezéssel, József Venczel írta:
A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16
óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre
a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel
kizárom őket, mert fognak egy másik ip címet és folytatják arról.
Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre,
mert később ezen az interface-en letiltom az ssh-t.
Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?
Ha a szerver egy alap telepítés, és kapott IPv6 címet is, és publikusan
is elérhet kívülről, akkor IPv-6-on is elérhetik, támadhatják. Ha nincs
szükség az IPv6-ra, akkor érdemes letiltani az IPv6-ot a szerver külső
interfészén.
Nem értem. Ha a szerverre nem jutnak be ssh-n, jelszóval nem is lehet
belépni ssh-n, akkor mitől omlik össze a Proxmox? A proxmox webes
felülete nem érhető el véletlenül kívülről, akár IPv6-on? A proxmox-ot
utólag telepíted a szerverre? Milyen Debian verzió? Ha megoldható, akkor
érdemes ISO-ból telepíteni a Proxmox-ot, tiszta telepítésként.
Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24
órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta.
Ezzel magadat nem tiltod ki?
Az alábbi beállításokat
Port 14963 # de inkább egy másikat, mert ezt már közzétettük :)
AddressFamily inet
ListenAddress 127.0.0.1
ListenAddress [IP-cím amin elérhető]
LoginGraceTime 10
PubkeyAuthentication yes
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
És ezeket is érdemes lehet beállítani megfelelő értékkel: MaxAuthTries,
MaxSessions
Veres Sándor
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
