οι γερμανοί ξανάρχονται με ...ssh :)

Constantine Dokolas cdokolas at Sunsoftgr.com
Fri Dec 22 13:38:21 EET 2006


Alexandros Kosiaris wrote:
> Dimitris Kalamaras wrote:
>> Καλησπέρα, 
>>
>> έχω ένα πιθανό πρόβλημα με το ssh. Βλέπω στο /var/log/secure (δείτε
>> παρακάτω) ότι κάποιος υπολογιστής από τη Γερμανία (;)(arcor-ip.net μου
>> δίνει το whois) προσπαθούσε χτες για καμιά ώρα να συνδεθεί με SSH με το
>> PC μου. Στο router  έχω ανοικτή μόνο την SSH πόρτα. Αναρωτιέμαι τι κάνει
>> κανείς σε αυτές τις περιπτώσεις (πέραν των προσευχών ή του κλεισίματος
>> της πόρτας); Στέλνει παραπονιάρικο email σε κάποια από τις διευθύνσεις
>> του whois; Υπάρχει τρόπος να μάθω περισσότερα για τη συγκεκριμένη IP ή
>> πιθανώς είναι κάποια dynamic σαν τη δικιά μου; Και επίσης πόσο ασφαλές
>> είναι το SSH; Αν το αφήσω, κάποια στιγμή θα το σπάσει σωστά; Μπορώ να
>> βάλω κάποιο IP ban για όλες τις IP εκτός από εκείνη από την οποία
>> συνδέομαι εγώ ( ~/.ssh/known_hosts); Υπάρχει κάτι άλλο;
>>
> Είναι εξαιρετικά τυπική συμπεριφορα. Οι περισσότεροι χρήστες που έχουν
> ανοικτή την ssh στον κόσμο όλο το παρατηρούνε το φαινόμενο. Πλέον είναι
> απλά bots που περνάνε, ψάχνουν για την 22 και μέτα για weak passwords.
> Ευτυχώς έχεις πολλές λύσεις.

Το έχω παρατηρήσει και εγώ κάποια στιγμή.

> Πρώτον σιγουρέψου οτι έχεις καλά passwords σε όλους τους χρήστες.
> 
> Δεύτερον υπάρχει επιλογή στον ssh server(θεωρώ οτι μιλάμε για κάποιο
> linux/BSD μηχάνημα και όχι για καποιο router που τυγχάνει να έχει και
> ssh) για το ποιους χρήστες θα αφήνεις να περνάνε. Παρδείγματος χάρη δεν
> χρειάζεται να αφήνεις τον root να κάνει login.
> PermitRootLogin no λοιπόν στο /etc/ssh/sshd_config
> 
> Τρίτον ο ssh server είναι tcp_wrapper aware έτσι μπορείς είτε να κάνεις
> στα αρχεία /etc/hosts.allow,hosts.deny κάποιο blacklisting το οποίο δεν
> προτείνω γιατί σε περίοδο 3 μηνών θα δείς τόσα πολλά connections που θα
> χάσεις τον μπούσουλα πια IP μπλοκάρεις και πια όχι, είτε ενα mass-deny
> και white-lists τις IPs που θέλεις. Διάβασε λίγο τις man pages για αυτά
> τα λένε αρκετά καλά.
> 
> Τέταρτον μπορείς να βάλεις Firewall με iptables στο μηχάνημα ώστε να
> μπλοκάρει τα πάντα προς την 22 εκτός απο τις ips που θες
> 
> Πέμπτον το ίδιο με το παραπάνω αλλά στο router σου.

Το group "ssh" που υπάρχει σε κάποια distros (δεν ξέρω σε πόσα υπάρχει, εγώ
το βλέπω σε Kubuntu) δεν χρησιμεύει για να δίνει δικαιώματα για login μέσω
SSH; Δηλαδή ότι πρέπει το account να ανήκει σε αυτό το group για να μπορείς
να κάνεις login με αυτό remotely μέσω SSH.

Doc

-- 
  Theory asserts that, although in theory there should be no
difference between theory and practice, in practice there IS
difference between theory and practice.




More information about the Linux-greek-users mailing list