οι γερμανοί ξανάρχονται με ...ssh :)

George Notaras gnot at g-loaded.eu
Fri Dec 22 14:04:07 EET 2006


On Fri, 2006-12-22 at 12:54 +0200, Dimitris Kalamaras wrote:
> Καλησπέρα, 
> 
> έχω ένα πιθανό πρόβλημα με το ssh. Βλέπω στο /var/log/secure (δείτε
> παρακάτω) ότι κάποιος υπολογιστής από τη Γερμανία (;)(arcor-ip.net μου
> δίνει το whois) προσπαθούσε χτες για καμιά ώρα να συνδεθεί με SSH με το
> PC μου. Στο router  έχω ανοικτή μόνο την SSH πόρτα. Αναρωτιέμαι τι κάνει
> κανείς σε αυτές τις περιπτώσεις (πέραν των προσευχών ή του κλεισίματος
> της πόρτας);

Υπάρχει το DenyHosts, το οποίο μπλοκάρει για ορισμένο χρονικό διάστημα,
μέσω tcp wrappers, τις IP από τις οποίες γίνονται επανειλημμένα
αποτυχημένες προσπάθειες για login.

Μια άλλη λύση που πολλοί λένε πως δουλεύει καλά είναι να μην
χρησιμοποιεί κανείς την default port στον ssh server του.

Τέλος, υπάρχει μια μέθοδος που ονομάζεται port-knocking και κατά την
οποία θα πρέπει πρώτα να προσπαθήσεις να συνδεθείς σε μια προεπιλεγμένη
αλληλουχία από ports, ώστε τελικά να ανοίξει η port στην οποία τρέχει ο
ssh server. Γίνεται και με iptables rules, αλλά υπάρχει και o port
knocking server "knockd". Δεν τα έχω δοκιμάσει για να έχω άποψη, αλλά
είναι πολύ ενδιαφέροντα.


>  Στέλνει παραπονιάρικο email σε κάποια από τις διευθύνσεις
> του whois; Υπάρχει τρόπος να μάθω περισσότερα για τη συγκεκριμένη IP ή
> πιθανώς είναι κάποια dynamic σαν τη δικιά μου;

Είναι και δικό μου ερώτημα το τι γίνεται με τα abuse emails. Δεν έχω
στείλει ποτέ, αλλά για καλό και για κακό έχω πολύ πράμα κρατημένο από
logs.

>  Και επίσης πόσο ασφαλές
> είναι το SSH; Αν το αφήσω, κάποια στιγμή θα το σπάσει σωστά;

Μπορείς να ρυθμίσεις έτσι τον server ώστε να κάνει διαπίστωση ταυτότητας
χρήστη μόνο μέσω ζευγαριού κλειδιών και επιπλέον να επιτρέπει μόνο σε
χρήστες που ανήκουν σε κάποιο συγκεκριμένο group να συνδεθούν στον
σερβερ. Έτσι, ο attacker πρέπει να είναι υπερβολικά τυχερός για να
αποκτήσει πρόσβαση στο σύστημα.

Έχοντας κάνει εκτεταμένο ψάξιμο, είχα γράψει ένα μινι-howto παλιότερα
για ένα τέτοιο configuration. Αν θέλεις να ρίξεις μια ματιά, υπάρχει
στο:
http://www.g-loaded.eu/2005/11/10/ssh-with-keys/

>  Μπορώ να
> βάλω κάποιο IP ban για όλες τις IP εκτός από εκείνη από την οποία

Αυτό μάλλον δεν είναι η καλύτερη λύση, γιατί αν για οποιονδήποτε λόγο
αλλάξει η IP από την οποία συνδέεσαι συνήθως, τότε δεν θα μπορέσεις να
ξανασυνδεθείς.

> συνδέομαι εγώ ( ~/.ssh/known_hosts); Υπάρχει κάτι άλλο;

Το αρχείο known_hosts περιέχει πληροφορίες (IP/hostnames) για τους
remote SSH servers στους οποίους συνδέεσαι και τους οποίους εμπιστεύεσαι
ότι είναι οι δικοί σου.

Ο αποκλεισμός μπορεί να γίνει μέσω /etc/hosts.(allow|deny).

Καλές γιορτές,
Γιώργος





More information about the Linux-greek-users mailing list