Online video hd

Смотреть русский видео

Официальный сайт flashgamer 24/7/365

Смотреть видео бесплатно

26.12.10 18:46 LordBayonet

Tips & tricksКак же достали сканеры ssh

1
2
3
4
5
6
7
8
sshd:
   Authentication Failures:
      unknown (114.70.60.245): 2770 Time(s)
      root (114.70.60.245): 464 Time(s)
      root (61-220-32-22.hinet-ip.hinet.net): 28 Time(s)
      unknown (61-220-32-22.hinet-ip.hinet.net): 16 Time(s)
      apache (114.70.60.245): 8 Time(s)
 

Вот ну что им делать не фиг лезть ко мне с тупым брутфорсом?.. Думаю каждый это дело хоть раз но видел в своих логах. Так что же делать? сменить порт ssh? бесполезно, все равно отнюхают. Банить файрволом адреса тоже бесполезно ибо это наверняка тупой ботнет и адреса каждый раз разные. Здесь нужно кардинальное решение, убивающее проблему на корню. И я его нашел.. Имя решению - ZeBeDee. Это программа для создания шифрованного туннеля между двумя машинами. Существует в версии для *nix и win32. Взять программу можно отсюда. С одной стороны программа уже не развивается, с другой стороны явных глюков и багов не замечено.

Замечу сразу програмку надо качать вместе с сопутствующими элеиентами, не важно установлены они уже в вашей системе или нет, она хочет собираться с ними и ниипёт.. итак качаем:
1. blowfish-0.9.5a
2. bzip2-1.0.3
3. zebedee-2.4.1A (можно и версию 2.5.2, я просто поленился скачать)
4. zlib-1.2.3

Сборка этого дела не вызывает проблем: поочередно заходим в каталоги компонент и отдаем команду make.
в каталог собсно зебеди заходим в последнюю очередь и отдаем команду make OS=linux(ну или FreeBSD или что у вас там, при попытки сборки без этого параметра вам вывалится ошибка и варианты значений параметра "OS"). Ах да, каталоги всех компонент и каталог с самой зебедёй должны лежать рядышком в одном общем каталоге.

Ну вот теперь мы готовы противостоять мерзкой ботнет заразе.

первым делом копируем исполняемый файл, получившийся в результате сборки в /bin (пишу для никсов, в виндах все тривиально), потом создаем каталог для конфигурационников /etc/zebedee (можете понадеятся на make install но я им не пользуюсь и что он сделает не знаю, уж лучше ручками). Там мы разместим конфигурационный файл сервера, и файл открытых ключей клиентов. Да-да, зебедя использует ассиметричное шифрование. В /etc/zebedee создаем файл zebedee.conf со следующим содержимым

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
timestamplog true # добавлять таймштам в лог
verbosity 2 # более подробные логи
logfile /var/log/zbd # собснно саб логфайл

#logfile SYSLOG # можно и в syslog писать

server true # режим работы zebedee
ipmode both # используем как tcp так и udp
serverport 1115 # Может быть любым

keygenlevel 2 # уровень сложности сессионного ключа, вроде максимум
keylength 256 # длина ключа
keylifetime 36000 # время жизни ключа 10 часов


redirect 22:65535 # какие порты разрешено редиректить.. мне не жалко ))

target localhost:22 # собственно второй конец тунеля, или куда скидывать распакованные пакеты

compression zlib:9 # Максимальное сжатие покетов zlib`ом
maxbufsize 16383 # максимальный размер пакетов
checkidfile '/etc/zebedee/clients.id' # самый главный файл, содержащий открытые ключи клиентов, если вашего ключа в этом файле нет, то и не подключитесь никогда.
 


Ну полдела сделано, осталось вторые полдела. Пишем инит скрипт для запуска /etc/init.d/zebedee
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
#!/bin/bash
#
# Script generated by LordBayonet
# chkconfig: - 16 84
# description: Zebedee 2.41
# processname: zebedee
# config: /etc/zebedee/zebedee.conf

# source function library
. /etc/rc.d/init.d/functions

# Check that networking is up.
[ "${NETWORKING}" = "no" ] && exit 0

# The process must be configured first.
[ -f /etc/zebedee/zebedee.conf ] || exit 0

RETVAL=0

prog="zebedee"

case "$1" in
  start)
        echo -n $"Starting $prog: "
        /bin/zebedee -f /etc/zebedee/zebedee.conf & success || failure
        RETVAL=$?
        [ $RETVAL -eq 0 ] && touch /var/lock/subsys/zebedee
        echo
        ;;
  stop)
        echo -n $"Shutting down $prog: "
        killproc zebedee
        RETVAL=$?
        [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/zebedee
        echo
        ;;
  restart|reload)
        $0 stop
        $0 start
        RETVAL=$?
        ;;
  condrestart)
        if [ -f /var/lock/subsys/zebedee ]; then
                $0 stop
                $0 start
        fi
        RETVAL=$?
        ;;
  status)
        status zebedee
        RETVAL=$?
        ;;
  *)
        echo $"Usage: $0 {start|stop|restart|reload|condrestart|status}"
        exit 1
esac

exit $RETVAL
 


Ничего сложного обычный инит скрипт. После отдаем команду:
chkconfig --add zebedee; chkconfig --level 345 zebedee on


теперь настала пора подумать о клиентской части. Принципиальной разницы в использовании клиентской части под линукс или виндоус нет, разве что под линуксом обычно 22й порт занят и на него нельзя повесить клиентский процесс зебеди...

Итак клиент: Устанавливаем зебедю. Создаем клиентский файлик настроек обзовем его my.zbd с таки содержимым:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
verbosity 2 #Уровень лога

server false # Клиент все-таки, или проще говоря мы начало трубы ))
detached false #Уйти в бэкграунд или нет. True или False выбирать вам, я предпочитаю чтобы окно зебеди у меня висело
#udpmode true # можно оставить для UDP в моем случае не нужно.

multiuse true # Можно или нет тунелировать несколько программ

serverhost <ip adress> # адрес нашего сервера где висит серверная часть
serverport 1115 # порт серверной части (определяется в конфе верверной части)

tunnel 22: <ip adress> :22 # Описание тунеля, т.е. при заходе на локальный порт 22 нас откидывают на <ip adress>:22, порты не обязательно должны быть одинаковыми.
#tunnel 27: <ip adress> :22  # так тоже можно, при заходе на 27 локальный порт отбрасывает на <ip adress> :22. кстати если раскоментарить эту строку то будет второй тунель. т.е. можно описывать много тунелей для одной клиентской зебеди(сразу на несколько серверов), локальные порты ессно должны быть разными

keygenlevel 2 # Максимальная сложность ключа
keylength 256 # Длина сессионного ключа
keylifetime 36000 # время жизни ключа 10 часов

compression zlib:9 # Максимальное сжатие покетов zlib`ом
maxbufsize 16383 #  максимальный размер пакетов
include "private.key" # файл с вашим закрытым ключом... если лежит в другой папке пишем полный путь.
 


ну вот, теперь наша клиентская зебедя знает куда и как передавать наши пакеты. Теперь мы должны сделать себ
 
е пару ключей открытый и закрытый.. открытый положим на сервер "clients.id" а закрытый к себе на флешку или еще куда "private.key"
делается это просто:

zebedee -p > private.key

Так создается закрытый ключ. в файле будет примерно следующее:
privatekey "641cee723b6f6edb31fd71017d2b60167f8da0c3"

теперь наша задача на основе этого приватного ключа получить открытый, не сильно сложнее:
zebedee -P -f private.key >> clients.id

Так создается открытый ключ и помещается в файл clients.id который кладется на сервер. В файле будет примерно следующее:
92a59bcadfd508a697f5c34842686adf65953c11 your_nick_for_example

теперь размещаем эти файлики на серверной части в /etc/zebedee/clients.id, на клиентской части туда куда хотим.
запускаем сервер:
service zebedee start

запускаем клиент:
zebedee -f /home/my.zbd

теперь лезем по ssh на localhost:22 и попадаем на наш сервер. Все, теперь можно навечно закрыть порт ssh на сервере и оставлять открытым только порт ZeBeDee (в нашем случае 1115). Ботнеты побеждены, и спама в логах больше нет..
Профит.

Таким же образом можно защитить подключение к RDP, XDMCP, FTP и т.д.

З.Ы. поправил заголовок, сниферами надо меньше заниматься )) в данном случае они ни при чем.



Vzlom 26.12.10 18:49 # +6
Добавь cut а то на всю главную размахало
LordBayonet 26.12.10 18:54 # +6
добавил.. первый пост, еще не разобрался.. спс за замечание
Vzlom 26.12.10 19:56 # +1
Да не за что ;)
cyrus 26.12.10 19:06 # +8
ничего не понял..
можно ещё раз вкратце зачем это? и чем это лучше смены стандартного 22 порта на другой, и добавления public-private key?
Anrock 26.12.10 19:08 # +4
В настройках ssh есть же вроде возможность зойбанить адрес после n неудачных попыток, нэ? А городить такую костылину как-то лениво, имхо.
LordBayonet 26.12.10 20:05 # +-2
а если сам пьян и не заметил включенной русской раскладки? или еще какая нидь кака... всякое бывает.. кроме того опять же шанс успешной атаки...
Anrock 26.12.10 20:09 # +3
Дак нефиг пьяным по ссх лазить >:3
LordBayonet 26.12.10 20:13 # +1
всякое бывает
derfenix 26.12.10 21:20 # +0
заведи ещё один акк на такие случаи. и пароль позаковырестей запиши куда-нибудь в труднодоступном месте, чтобы на пьяную голову точно уж не полез за ним.
LordBayonet 27.12.10 08:25 # +2
а если в командировке? вобщем мне удобнее сделать так, каждый решает для себя как ему защищаться. )
lockie 27.12.10 02:08 # +-2
> А городить такую костылину как-то лениво, имхо.
Ога-ога.
PortSentry ещё имеет смысл.
Nikisch 26.12.10 19:27 # +1
Я не спец, но тоже кажется, что порт можно и другой использовать. Чем мешают эти неудавшиеся попытки соединения?
Если порт нестандартный, то боты автоматом отпадут, но хакеры могут и порт бебези бомбить, нет?
Alx 28.12.10 13:18 # +1
я тоже так думаю.. когда я порт менял на 19, то вообще никто не лез, акромя меня.. и будто этот зибиди надёжнее ssh демона.. вдруг какое то переполнение там или другой баг.. нафиг нафиг такое неизвестночто.. лучше уж какой нибудь vpn сделать - смысл тот же
andreas 26.12.10 19:28 # +2
А как коннектитьса с машин где нет этого zebedee? Или я тоже что-то не понял? В принципе это же только "другой" ssh которым ты делаешь тунель на настоящий ssh. Конечно пропадут аттаки, но пропадёт и возможность ssh...
LordBayonet 26.12.10 20:45 # +1
зибиди на флешке таскается, установки не требует, чтобы запускать по ключу можно сделать такой батник:
zebedee -f my.zbd
Daria 26.12.10 19:33 # +2
что это? зачем? чем лучше ssh? какие подводные камни? с этого нужно начинать, а не с того, как установить.
Alx 28.12.10 13:20 # +2
по моему открыть ssh порт гораздо надёжнее будет, чем вешать этот зибиди.. явных багов вроде нет, как сказал автор, а кто знает, мож неявные есть? ssh проверено временем =)
time2die 26.12.10 19:50 # +3
не понял, при чём здесь слово "снифер"
LordBayonet 26.12.10 19:59 # +0
потому что сначала снифт потом брутят...
stasikos 26.12.10 20:24 # +3
а что в вашем понимании "сниффить"?
LordBayonet 26.12.10 20:29 # +2
хм, ну да, тока щас дошло сканеры конечно.. надо поправить
LonFas 26.12.10 19:54 # +5
молодой человек, ssh на нестандартный порт + правило для iptables наше всё
з.ы. правило для iptables
# Защита от брутфорса SSH (6 подключений в минуту)
$IPT -A INPUT -i ppp0 -p tcp --dport <порт_ssh> -m state --state NEW -m recent --set --name SSH
$IPT -A INPUT -i ppp0 -p tcp --dport <порт_ssh> -m state --state NEW -m recent --update --seconds 60 --hitcount 6 --rttl --name SSH -j DROP
LordBayonet 26.12.10 19:58 # +2
молодой человек, ssh на нестандартный порт + правило для iptables наше всё
з.ы. правило для iptables
# Защита от брутфорса SSH (6 подключений в минуту)
$IPT -A INPUT -i ppp0 -p tcp --dport <порт_ssh> -m state --state NEW -m recent --set --name SSH
$IPT -A INPUT -i ppp0 -p tcp --dport <порт_ssh> -m state --state NEW -m recent --update --seconds 60 --hitcount 6 --rttl --name SSH -j DROP


Спам останется это раз. Теоретическая возможность успешной атаки тоже останется это два. Нестандартный порт не поможет ибо его тоже обнаруживают это три.
goodle 26.12.10 19:58 # +4
Первое что сделать - перенести на нестандартный порт! Львиная часть бутфорсеров сразу идёт лесом - проверено! Ну а если совсем секурно хочется, то ssh-knock Вам в помощь ;)
LordBayonet 26.12.10 20:08 # +2
за ссыль спасиб, альтернатива тоже интересна...
LordBayonet 26.12.10 20:26 # +3
почитал, интересная штука, но не совсем то что хочется... часто ведь и с общедоступных адресов лезешь(Wi-Fi), и добавлять его в вайт лист чтобы поработать 5 мин не хочется.. за эти 5 мин можно и наворотить чего-нидь с того же адреса... но штука забавная ))
LordBayonet 26.12.10 20:03 # +4
ничего не понял..
можно ещё раз вкратце зачем это? и чем это лучше смены стандартного 22 порта на другой, и добавления public-private key?

Я не спец, но тоже кажется, что порт можно и другой использовать. Чем мешают эти неудавшиеся попытки соединения?
Если порт нестандартный, то боты автоматом отпадут, но хакеры могут и порт бебези бомбить, нет?

1.Смена порта не помогает. спам остается
2. Мешает тем, что читать километровые логи тупо лень, и есть шанс упустить что нибудь важное.
3.В случае направленной атаки не ботнетом появляется дополнительная ступень защиты.
что это? зачем? чем лучше ssh? какие подводные камни? с этого нужно начинать, а не с того, как установить.

1. Прочитайте название темы и блога
2. Это не ман к программе, это решение озвученной проблемы
3. подводные камни не обнаружены за 6 лет использования.
А как коннектитьса с машин где нет этого zebedee? Или я тоже что-то не понял? В принципе это же только "другой" ssh которым ты делаешь тунель на настоящий ssh. Конечно пропадут аттаки, но пропадёт и возможность ssh...

конектится очень просто, достаточно таскать свой приватный ключ и саму программу на флешке.. в том и фишка что возможность ссш остается, а спам пропадает.
goodle 26.12.10 20:15 # +3
Один способ не даст требуемого эффекта - только несколько степеней защиты! Смена порта - это только первый шажок, камрады дали много толковых советов выше. По-одному они малоэффективны, а вот вкупе дадут довольно хорошую защиту от хацкеров ;)
LordBayonet 26.12.10 20:20 # +3
все эти способы перекрываются моим одним... я описал свое решение, никто не мешает вам описать ваше. ))
derfenix 26.12.10 21:23 # +2
имхо, твое решение куда сложнее, чем применение всех секруных настроек для shh. А результат будет не хуже.
LordBayonet 27.12.10 08:29 # +1
Применение секурных настроек безусловно повысит безопасность, но спам в логах останется, я же искал кардинальное решение убивающее проблему на корню. и нашел.
derfenix 27.12.10 13:58 # +-3
Дык отключи логи, раз спам тебе там мешает. Сделай авторизацию только по ключу и спи спокойно.
exelens 26.12.10 21:15 # +4
Отвечать лучше не всем скопом, а каждому в его сообщение, тогда проще следить за дискуссией.
LordBayonet 27.12.10 07:48 # +1
уже понял, спс )
sharp 26.12.10 22:20 # +3
т.е. вы предлагаете ставить какой-то абсолютно лишний (почему так -- описали комментаторы выше, да и не один раз) и древний софт, который, мало того, что не хочет собираться с МОЕЙ версией, например, zlib и bzip2; так еще и не в состоянии при выполнении `make' определить: linux у меня или freebsd?

так вы еще и бинарник ее класть в /bin предлагаете. может пришла пора читать man hier уже наконец-то?

кошмар-то какой...
LordBayonet 27.12.10 07:49 # +0
если этот софт для вас лишний вас тут никто не держит... Если маленько напряжете голову то поймете что защита ссш этим софтом лишь частное решение... кому то может пригодиться...
sharp 27.12.10 11:43 # +0
этот софт, простите уж, для всех лишний, раз разработчики не могут осилить `make'.

плюс к тому:
Stable Version: 2.4.1A (2005/09/06)
Development Version: 2.5.3 (2005/09/06)

когда там найдется уязвимость, вы думаете кто-то чесаться будет? может вы?
LordBayonet 27.12.10 13:24 # +0
может и я, кто знает...
sharp 27.12.10 14:02 # +0
да я как-то в этом сильно сомневаюсь.
LordBayonet 27.12.10 13:24 # +0
и кто вам дал право решать за всех? вы господь бог? не похоже..
sharp 27.12.10 14:03 # +-1
> и кто вам дал право решать за всех?

не кто, а что. здравый смысл.

отсутствие этого пакета в репозитории, например, debian, уже говорит о многом.
LordBayonet 27.12.10 14:22 # +0
Ну а я разве вас заставляю его использовать? используйте то что "Одобрено Дебиан", зачем вы меня то пытаетесь заставить это делать?
sharp 27.12.10 14:29 # +0
нет, конечно не заставляете.

вы же даже пакет не удосужились с этой вашей "зибидей" собрать. просто превратили вашу систему в слакварь.
LordBayonet 27.12.10 15:23 # +0
Вы очевидно недавно освоили rpbuild и теперь страшно горды этим? Вам не приходило в голову, что не всегда овчинка стоит выделки? Да я могу собрать пакет, вопрос в том во сколько потраченного времени мне это станет. Нет я не буду этого делать ибо банально лень...
sharp 27.12.10 15:25 # +0
rpmbuild я освоил очень уж давно и гордиться тут нечем.

да конечно, лучше систему в слакварь превращать.
LordBayonet 27.12.10 15:39 # +-2
от одной программы в слаку она не превратится. Я давно уже отошел от фанатизма, и трезво оцениваю цену "следованию чистой идеологии".
sharp 27.12.10 16:20 # +-1
начинается с малого. сперва одна программа, потом вторая...
LordBayonet 27.12.10 16:32 # +2
Все дело в цене вопроса. Фанатизм дело гиблое..
commonD 30.12.10 00:41 # +1
Слышь, Патрик не одобряет твое высказывание. Slackware поставляется исключительно набором пакетов, и включает в себя, скудный по функционалу, но пакетный менеджер. Превратить в помойку можно любой дистрибутив с любым пакетным менеджером - зависит только от пользователя.

А по делу, да, абсолютно согласен с тобой по поводу использования SSH и механизма авторизации по ключам. Если мешает лог брута, то легче его отключить (все равно авторизуемся по ключам), нежели устанавливать дополнительные утилиты.
LordBayonet 30.12.10 13:01 # +1
+1 про слаку. По поводу удобства каждый решает для себя. мне удобнее так вам по-другому. )
dront78 26.12.10 22:34 # +0
очень жесткое решение прибить ssh, проще лог настроить чтобы игнорировать брутфорс, ну или grep ом читать.
LordBayonet 27.12.10 07:50 # +0
Никто ссш не прибивает читайте внимательно.. закрывается только порт ссш, и доступ к нему осуществляется через эту тулзу..
dront78 27.12.10 08:19 # +1
Я читал внимательно, так и не понял смысл. Если лог напрягает,отключить можно. Если паранойя перед взломом, читайте матчасть ;) С таким же успехом можно openvpn прокинуть. Есть во всех дистрибутивах
LordBayonet 27.12.10 08:27 # +0
Можно сделать что угодно, я сделал так и поделился этим с вами. Использовать или нет, это же ваше дело, я же не заставляю ))
dront78 27.12.10 12:38 # +0
Дык, спасибо ;) Просто это нормальная реакция на установку софта, в котором непонятно сколько багов, ибо разработчик давно на него забил.
LordBayonet 27.12.10 13:20 # +0
я же писал явных багов не обнаружено...
sharp 27.12.10 14:02 # +1
а вы у нас эксперт по безопасности и криптографии?
LordBayonet 27.12.10 14:22 # +0
А вы очевидно тоже?
sharp 27.12.10 14:27 # +2
я-то ниразу. поэтому и не использую софт, который перестали уже лет шесть разрабатывать. чего и вам желаю.
LordBayonet 27.12.10 15:21 # +-1
А теперь подумайте кому будет интересно копаться и искать баги в никому не известном софте
который перестали уже лет шесть разрабатывать

Если только какой то особо упертый хацкер не захочет ломануть именно ваш сервер. Но таких один на миллион.
derfenix 27.12.10 15:26 # +2
ну-ну.. т.е. ты думаешь, что раньше, когда этот софт разрабатывался - никто в нём баги не искал, да?.. и потом, пару лет спустя, наверняка его тоже ковыряли и искали баги. И наверняка нашли. И т.к. софт этот уже далеко не популярен, то и о багах в нём помалкивают. А тут такое счастье будет для кого-то, когда он поймёт, что у тебя именно этот подарок для хакера установлен!
LordBayonet 27.12.10 15:31 # +0
Ну кто же вам мешает сделать поиск по старым багтрекерам? В крайнем случае: исходники доступны = можно прошерстить самому. Не мне вам объяснять, что большинство взломов сейчас осуществляют скрипт-кидди, и для них ваша древняя штучка будет темным лесом.
derfenix 27.12.10 15:39 # +0
Ну кто же вам мешает сделать поиск по старым багтрекерам

О да.. т.е. твое простое решение подразумает ещё и поиск по багам и исправлению их?.. А все ли они в баг трекере?
Большинство может и скрипт-кидди, но: уверен, что на баги в твоей софтине нет готовых эксплоитов, которыми любой скрипт-кидди может воспользоваться? и уверен ли, что кого-нибудь из меньшинства (не сексуального) не заинтересует твой сервак с таким лакомым слабым местом?..
LordBayonet 27.12.10 15:57 # +1
Я же сказал "в крайнем случае". Да я уверен, что слабое место не такое уж и лакомое и не такое слабое. Если вы работаете в организации работающей с гостайной вы все равно не имеете права ZeBeDee использовать. Во всех остальных случаях я считаю, что риск оправдан. Вы можете решить по-другому и это ваше право. Если уж на то пошло мелкомягкие продукты дырявые как решето, но их используют. Только не рассказывайте мне про техподдержку и своевременное исправление багов. Насмотрелся и наобщался...
dr_magnus 26.12.10 22:38 # +2
парочка вопросов:
1. я правильно понял - мы должны на флешке таскать два бинарника; для никсов и для винды?
2. как быть в том случае, когда в корпоративных сетях наружу открыты только четко определенные стандартные порты?
LordBayonet 27.12.10 07:52 # +1
1. да правильно, если вы в качестве клиента используете линукс.
2. вам ниикто не мешает выяснить какой порт у вас точно открыт и повесить серверную часть на этот порт. например 110(если предположить что у вас там pop3 сервиса нет)
Shtsh 26.12.10 23:06 # +3
А ещё есть такая штука, как Fail2Ban
LordBayonet 27.12.10 07:52 # +1
спасиб, гляну
ArtemZ 27.12.10 00:56 # +1
я обычно разрешаю аутентификацию только по приватному ключу и забиваю болт на все эти сканы. приватный ключ им всё равно не подобрать
LordBayonet 27.12.10 07:59 # +0
В этом вся и проблема, скан остается! а значит и километровые логи тоже. Прочитайте название статьи, я старался избавится от самого явления. Работает железобетонно, логи чистые, доступ к ссш не особо затруднен. Из предложеных здесь альтернатив, разве что ссш-кнок представляет интерес, но у него есть недостатки.
ArtemZ 27.12.10 14:35 # +0
есть такая вещь, как ротация логов на тот случай, если мешают сами логи. если напрягают сканы самы по себе - можно сменить порт. проблема немного надуманна короче
LordBayonet 27.12.10 15:13 # +0
Для вас может быть и надумана, для меня нет...
ASPLP 27.12.10 10:43 # +0
по-моему, чтоб не искать кослтыли и не париться проще толково настроить sshd, ну или использовать denyhosts.
combucho 27.12.10 10:54 # +0
ASPLS +100 sshd.conf + denyhosts отличная связка
LordBayonet 27.12.10 13:22 # +2
чем вам поможет denyhost если адреса каждый раз разные? до какого размера этого файла вы будете его заполнять? ради бога копайте ломом яму дальше..
combucho 27.12.10 15:03 # +1
чем вам поможет denyhost если адреса каждый раз разные? до какого размера этого файла вы будете его заполнять?

Конечно, адреса разные. И пусть заполняется, дисковое пространство нынче дёшево.
ради бога копайте ломом яму дальше..
Спасибо, точу лом.
мне удобнее сделать так, каждый решает для себя как ему защищаться.

Про ротацию логов и ключи авторизации вам уже писали, и вероятность, что флешки с батником под рукой не окажется, остается. Может быть действительно проблема надумана?
LordBayonet 27.12.10 15:11 # +0
Действительно дельные предложения я уже отметил и взял на заметку. Проблемы для меня уже нет - я ее решил, кому-то такое решение придется по вкусу, остальные сделают по-другому, а кто-то вообще не парится по этому поводу...
LordBayonet 27.12.10 15:12 # +2
Конечно, адреса разные. И пусть заполняется, дисковое пространство нынче дёшево.

а то что это бессмысленное занятие вас не смущает? ну да ладно, вы взрослый человек, сами себе хозяин...
s2h 27.12.10 11:20 # +1
если кто то захочет избавиться от лишнего флуда в логах он может прочитать эту статью или сделать скрипт на очистку логов.
LordBayonet 27.12.10 13:23 # +-1
и этот скрипт грохнет что нибудь важное... Вот если у человека болят яйца можно яйца отрезать, а можно вылечить.. вы предпочитаете отрезать судя по всему...
s2h 27.12.10 13:31 # +1
и этот скрипт грохнет что нибудь важное...

это если у писателя руки растут не оттуда

я все прочитал, но понять не могу вам спам мешает в логах или вас смущает безопасность ссщ? по ходу дискуссии создается впечатление, что только первое.
LordBayonet 27.12.10 14:28 # +0
Ну давайте посмотрим на начало статьи буквально первые строки: "Здесь нужно кардинальное решение, убивающее проблему на корню.". Ни одно из предложенных кроме ссш-кнок это не делает.. про ссш-кнок я просто не знал, спасибо тому кто сказал про него. Все остальное не более чем пальцегнутие и недопонимание от чтения "по-диагонали"
s2h 27.12.10 15:09 # +2
:) а на секундочку задуматься, может это не наша вина, что мы недопонимаем сути статьи.
LordBayonet 27.12.10 15:27 # +1
Ну это спорный вопрос. Ведь даже если что то непонятно гугл никто не отменял. Но именно непонимание сути продемонстрировали буквально пара человек, на их вопросы я ответил, остальные принялись мне доказывать как круто они сделают тоже только другими способами, предлагая при этом половинчатые решения, но превозносящиеся ими как истина в последней инстанции...
dr_magnus 27.12.10 20:07 # +0
Здесь нужно кардинальное решение, убивающее проблему на корню

стесняюсь спросить, а в чем проблема?

судя по этому:
Вот ну что им делать не фиг лезть ко мне с тупым брутфорсом?.. Думаю каждый это дело хоть раз но видел в своих логах. Так что же делать? сменить порт ssh? бесполезно, все равно отнюхают. Банить файрволом адреса тоже бесполезно ибо это наверняка тупой ботнет и адреса каждый раз разные.

это паранойя обыкновенная.

проблемы как таковой не нахожу. а причин ставить не совсем понятный софт - тем более.
dr_magnus 27.12.10 20:11 # +1
ага.. перечитал еще раз каменты и нашел "проблему":
но спам в логах останется, я же искал кардинальное решение убивающее проблему на корню. и нашел

так может проще перенаправить логи SSH в /dev/null ? куда более кардинальное решение ;-)
LordBayonet 27.12.10 20:21 # +2
И потерять возможность следить за тем что происходит с ссш? спасибо не для меня..
LordBayonet 27.12.10 20:23 # +2
Любой безопасник должен быть немного параноиком... Не хотите не ставьте, я уже понял что вам лень\не правильно\не идеологично\сто раз можно сделать лучше\ващепофиг - нужное подчеркнуть
dront78 27.12.10 15:13 # +6
кастую голосование в тред - "А вам нравятся логи ssh?"

Варианты ответа
- читаю каждый день и меня прет
- читаю каждый день и мне страшно
- читаю каждый день вместо блогов
- ssh не установлен, но я сам пишу такие логи для других
LordBayonet 27.12.10 15:27 # +2
Забыл добавить вариант "А что это такое?" ))
derfenix 27.12.10 15:29 # +1
ну тогда уж два варинта: "а что такое ssh" и "а что такое логи?"
LordBayonet 27.12.10 15:51 # +1
Думаю достаточно последнего ))
cooler 27.12.10 19:58 # +1
А мне всегда было интересно какие же они пароли пытаются использовать. А то только логины, а они не интересны.

А по сабжу, у меня стоит bfd и айпишки ложит в ipset.
LordBayonet 27.12.10 20:24 # +1
пасиба, погляжу что такое...
cooler 28.12.10 14:31 # +2
Вот он.
LordBayonet 28.12.10 14:47 # +1
пасяп )
eraserus 30.12.10 13:15 # +2
Статья спорная конечно, но точно не заслуживает той истерии которую вокруг нее устроили. Задела за живое местных тролей что ли? Или это держатели ботнетов бесятся? Спокойствия и профессионализма всем. А автору терпения... ))
С наступающим всех..

Посты Комментарии
Последние посты
    Посты Комментарии
    Последние комментарии
      Посты Комментарии
      Изменения
        Посты Комментарии Изменения Черновики Избранное
        Черновики (все)
          Посты Комментарии Изменения Черновики Избранное
          Избранное (всё)
            Посты Комментарии Изменения Черновики Избранное
            Лучшие блоги (все 150)
            Топ пользователей Топ блогов
            Топ пользователей Топ блогов
            Элита (все 3004 из 223 городов)
            Топ пользователей Топ блогов
            welinux.ru

            В хорошем качестве hd видео

            Онлайн видео бесплатно


            Смотреть русское с разговорами видео

            Online video HD

            Видео скачать на телефон

            Русские фильмы бесплатно

            Full HD video online

            Смотреть видео онлайн

            Смотреть HD видео бесплатно

            School смотреть онлайн