Често задавани въпроси

Глупави въпроси няма, има само глупави отговори…

За ЧЗВ.нет

Идеята е да служи за хранилище на отговори на Често Задавани Въпроси. Като начало - основно в сферата на IT ( ИТ, Информационни Технологии... абе компютрите ), но ограничения няма да слагаме. Та ако не можете да намерите отговора на това, което живо ви интересува - питайте на vupros@chzv.net (опашката от чакащи отговори въпроси се намира на тук ) И за да не се заяждате за транслитерацията можете да изпращате и на vapros@chzv.net, vaprosi@chzv.net, question@chzv.net, faq@chzv.net...

Категории

Последни статии

Блогове

абонаменти

Защитете отворените SSH сървъри

November 6th, 2007 от singu

Ако имате Linux сървър, той е достъпен откъм Интернет и имате пуснат SSH сървър, то най-вероятно в лога си имате доста редове от типа:

Oct 29 05:12:51 itil sshd(pam_unix)[3999]: check pass; user unknown
Oct 29 05:12:51 itil sshd(pam_unix)[3999]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=83.242.191.10
Oct 29 05:12:54 itil sshd(pam_unix)[4001]: check pass; user unknown
Oct 29 05:12:54 itil sshd(pam_unix)[4001]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=83.242.191.10
Oct 29 05:12:58 itil sshd(pam_unix)[4004]: check pass; user unknown
Oct 29 05:12:58 itil sshd(pam_unix)[4004]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=83.242.191.10
Oct 29 05:13:01 itil sshd(pam_unix)[4006]: check pass; user unknown
Oct 29 05:13:01 itil sshd(pam_unix)[4006]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=83.242.191.10

… което е точно това, което си мислите - някой от Русия се е опитал да се логне в нашият сървър с грешен потребител и/или парола. Голямата вероятност е този адрес да принадлежи всъщност на зомби система, част от ботнет, която чрез най-глупавия брутфорс и речникова атака си пробва често използвани комбинации от потребители и пароли ( напр. потребител root с парола 123456 )

За да не изпадате в неприятни ситуации, ето какво можете да направите:

  • ако е възможно - ограничете достъпа до определени потребители/хостове
  • махнете SSH достъпа на всички стандартни потребители (root, http, mysql, webmaster, administrator и т.н. ). Използвайте само потребители, които вие сте създали за отдалечен достъп.
  • преместете SSH сървъра си да слуша на нестандартен порт, а не на 22. Това няма да спре напълно опитите, но поне ще забави доста нападателите, тъй като трябва да правят пълен портскан на системата
  • ограничете IP адресите, които имат достъп до SSH сървъра с няколко прости iptables правила, например:
  • използвайте по-сигурни пароли, като задължително паролата НЕ трябва да съдържа потребителското име
  • ако имате възможност, инсталирайте инструмент от рода на SSHBlack - простичък скрипт, който вкарва IP адреса на атакуващия в iptables дроп правило след 4 неуспешни опита за логване. При мен същия скрипт, леко модифициран, пази и от брутфорс на ftp сървъра ми.
  • и последно - ако имате възможност, елиминирайте ssh достъпа като цяло.
Споделяне: Тези икони са връзки към различни социални сайтове за споделяне на линкове
  • Digg
  • del.icio.us
  • Dao.bg
  • Ping.bg
  • Pipe.bg
  • Svejo.net
  • Web-BG

Публикувано в Linux, Сигурност, ЧЗВ |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.