οι γερμανοί ξανάρχονται με ...ssh :)

Fri Dec 22 13:25:27 EET 2006

Dimitris Kalamaras wrote:
> Καλησπέρα, 
> 
> έχω ένα πιθανό πρόβλημα με το ssh. Βλέπω στο /var/log/secure (δείτε
> παρακάτω) ότι κάποιος υπολογιστής από τη Γερμανία (;)(arcor-ip.net μου
> δίνει το whois) προσπαθούσε χτες για καμιά ώρα να συνδεθεί με SSH με το
> PC μου. Στο router  έχω ανοικτή μόνο την SSH πόρτα. Αναρωτιέμαι τι κάνει
> κανείς σε αυτές τις περιπτώσεις (πέραν των προσευχών ή του κλεισίματος
> της πόρτας); Στέλνει παραπονιάρικο email σε κάποια από τις διευθύνσεις
> του whois; Υπάρχει τρόπος να μάθω περισσότερα για τη συγκεκριμένη IP ή
> πιθανώς είναι κάποια dynamic σαν τη δικιά μου; Και επίσης πόσο ασφαλές
> είναι το SSH; Αν το αφήσω, κάποια στιγμή θα το σπάσει σωστά; Μπορώ να
> βάλω κάποιο IP ban για όλες τις IP εκτός από εκείνη από την οποία
> συνδέομαι εγώ ( ~/.ssh/known_hosts); Υπάρχει κάτι άλλο;
> 
> ευχαριστώ και καλές γιορτές,
> 
> --Δημήτρης
> 
Είναι εξαιρετικά τυπική συμπεριφορα. Οι περισσότεροι χρήστες που έχουν
ανοικτή την ssh στον κόσμο όλο το παρατηρούνε το φαινόμενο. Πλέον είναι
απλά bots που περνάνε, ψάχνουν για την 22 και μέτα για weak passwords.
Ευτυχώς έχεις πολλές λύσεις.

Πρώτον σιγουρέψου οτι έχεις καλά passwords σε όλους τους χρήστες.

Δεύτερον υπάρχει επιλογή στον ssh server(θεωρώ οτι μιλάμε για κάποιο
linux/BSD μηχάνημα και όχι για καποιο router που τυγχάνει να έχει και
ssh) για το ποιους χρήστες θα αφήνεις να περνάνε. Παρδείγματος χάρη δεν
χρειάζεται να αφήνεις τον root να κάνει login.
PermitRootLogin no λοιπόν στο /etc/ssh/sshd_config

Τρίτον ο ssh server είναι tcp_wrapper aware έτσι μπορείς είτε να κάνεις
στα αρχεία /etc/hosts.allow,hosts.deny κάποιο blacklisting το οποίο δεν
προτείνω γιατί σε περίοδο 3 μηνών θα δείς τόσα πολλά connections που θα
χάσεις τον μπούσουλα πια IP μπλοκάρεις και πια όχι, είτε ενα mass-deny
και white-lists τις IPs που θέλεις. Διάβασε λίγο τις man pages για αυτά
τα λένε αρκετά καλά.

Τέταρτον μπορείς να βάλεις Firewall με iptables στο μηχάνημα ώστε να
μπλοκάρει τα πάντα προς την 22 εκτός απο τις ips που θες

Πέμπτον το ίδιο με το παραπάνω αλλά στο router σου.
-- 
Alexandros Kosiaris 	Network Management Center , NTUA
e-mail : alex at noc.ntua.gr
Public Key Fingerprint :
D6B1 0634 BE65 719C 6C95  7492 8201 4B46 C478 F074
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5200 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20061222/96867ad6/attachment.bin>