SSH, его логи и актуальные настройки 2017 (sshd, ssh, server, linux, logging)

Для новичков как вообще в Linux, так и в конкретной теме, к которой относится вопрос.

Модератор: Bizdelnick

Ответить
Аватара пользователя
tonchikp
Сообщения: 15
ОС: Linux

SSH, его логи и актуальные настройки 2017

Сообщение tonchikp »

Уважаемые форумчане! Требуется ваша помощь!

Разбираюсь с технологией SSH(2), есть несколько вопросов:
  • Какие актуальные поправки в настройках клиента и сервера на 2017 год?
    (Например слышал что уже md5 не безопасно, может ещё что-то есть и я не знаю)
  • Чем смотреть и изучать логи?
    (Хотелось бы конечно с подсветкой и в реальном времени, ну и с GUI, хотя и без него тоже пойдёт. Что-нибудь с минимумом зависимостей)
  • Как заставить логи писать в отдельный журнал, а не в системный?
    (Чтобы все логи связанные с SSH были в другой директории, хотя бы временно, для изучения технологии)
  • На что обратить внимание при анализе лога?
    (Какие признаки попыток вторжения, кроме многих попыток ввода пароля)
  • Как пробиться по такой схеме:
    Хост1 == Роутер (NAT0) == Провайдер-NAT1 == Интернет == Провайдер-NAT2 == Хост2
    Что посоветуете в этой ситуации?
  • Какой сервер и клиент посоветуете?
    (Выбор я уже сделал, но вдруг удивите :))

Мне по сути от SSH нужны прежде всего операции с файлами
(подмонтировал и в файловом менеджере перемещаешь/копируешь/удаляешь файлы и директории)
Изучаю Python3. Добавляйтесь в друзья: tonchikp@jabberon.net
Спасибо сказали:
Аватара пользователя
nerve
Сообщения: 280
ОС: OpenBSD

Re: SSH, его логи и актуальные настройки 2017

Сообщение nerve »

Сменить порт на сервере, отключить вход по паролю и запретить вход от root.
Изучать логи? Зачем?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: SSH, его логи и актуальные настройки 2017

Сообщение Bizdelnick »

tonchikp писал(а):
31.07.2017 03:29
Какие актуальные поправки в настройках клиента и сервера на 2017 год?

Вы серьёзно полагаете, что до 2017 года настройки по умолчанию так и не довели до ума? Единственное, что я меняю:

Код: Выделить всё

PasswordAuthentication no

Ну и на красношапочных системах какую-то ненужность вроде бы надо было выключить, чтобы не тормозила.

tonchikp писал(а):
31.07.2017 03:29
Чем смотреть и изучать логи?

Глазами и мозгом.

tonchikp писал(а):
31.07.2017 03:29
Хотелось бы конечно с подсветкой и в реальном времени

Вы намерены ими любоваться в реальном времени 24/7? tail -f тогда.

tonchikp писал(а):
31.07.2017 03:29
Как заставить логи писать в отдельный журнал, а не в системный?
(Чтобы все логи связанные с SSH были в другой директории, хотя бы временно, для изучения технологии)

В случае OpenSSH вроде бы никак. Впрочем, можете запустить sshd вручную с опцией -D и смотреть вывод в терминале (или перенаправить его в файл).

tonchikp писал(а):
31.07.2017 03:29
Что посоветуете в этой ситуации?

IPv6 или туннель через хост с белым IPv4-адресом.

tonchikp писал(а):
31.07.2017 03:29
Какой сервер и клиент посоветуете?

Этот вопрос надо было задавать прежде остальных, потому что от ответа на него зависят и остальные ответы. Лично я пользуюсь OpenSSH, только на роутере с OpenWRT — dropbear. Всё по умолчанию, в общем, не вижу смысла выпендриваться.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
tonchikp
Сообщения: 15
ОС: Linux

Re: SSH, его логи и актуальные настройки 2017

Сообщение tonchikp »

nerve писал(а):
31.07.2017 09:32
Изучать логи? Зачем?

Чтобы не пропустить наличие левых подключений
Изучаю Python3. Добавляйтесь в друзья: tonchikp@jabberon.net
Спасибо сказали:
Аватара пользователя
tonchikp
Сообщения: 15
ОС: Linux

Re: SSH, его логи и актуальные настройки 2017

Сообщение tonchikp »

Вы серьёзно полагаете, что до 2017 года настройки по умолчанию так и не довели до ума?

Ну если довели хорошо, я только рад этому

Глазами и мозгом.

Мда, вот это ответ. Хамите?

Вы намерены ими любоваться в реальном времени 24/7? tail -f тогда.

А что плохого чтобы наблюдать за логами?

Впрочем, можете запустить sshd вручную с опцией -D и смотреть вывод в терминале (или перенаправить его в файл).

Вот за это спасибо

IPv6

Было бы здорово! Это решение простое, надо попробовать, спасибо
Изучаю Python3. Добавляйтесь в друзья: tonchikp@jabberon.net
Спасибо сказали:
Аватара пользователя
Vascom
Сообщения: 1699
ОС: Fedora 32

Re: SSH, его логи и актуальные настройки 2017

Сообщение Vascom »

Установить и включить denyhosts.
Для соединения пробросить порт надо лишь в NAT на стороне сервера. То есть, если сервер Хост2, то только в Провайдер-NAT2 .

Посмотреть количество неудачных попыток логина (взлома) вашего SSH

Код: Выделить всё

lastb | awk '{print $1}' | sort | uniq -c | sort -rn | grep -v btmp | head
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: SSH, его логи и актуальные настройки 2017

Сообщение Bizdelnick »

tonchikp писал(а):
31.07.2017 12:50
А что плохого чтобы наблюдать за логами?

Плохо в этом то, что это непосильная для человека задача.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: SSH, его логи и актуальные настройки 2017

Сообщение SLEDopit »

nerve писал(а):
31.07.2017 09:32
Сменить порт на сервере, отключить вход по паролю и запретить вход от root.
В совсем параноидальных случаях сделать белый список IP с которым можно подключаться и запихать их в from в authorized keys.
И port knocking настроить.
tonchikp писал(а):
31.07.2017 12:50
А что плохого чтобы наблюдать за логами?
В том, что это пустая трата времени. От того, что вы внезапно обнаружите, что к вам ломится 100500 ботов, ничего не изменится. Они по-прежнему будут ломиться. Забанить всех всё равно не сможете.
Можно fail2ban поставить. Оно само будет банить всех после Х неудачных попыток. Но руками ничего мониторить всё равно не нужно

Когда настраиваете что-то, пытайтесь настроить так, чтобы всё работало максимально без вашего участия и пристального изучения логов. Если где-то это нужно, значит оно работает неправильно.

зы. Если уж совсем руки чешутся, можно посмотреть на отзыв о текущей конфигурации ssh вот тут: https://sshcheck.com/
Только если подгонять под эту чекалку свой конфиг, делайте аккуратно. Чтоб совсем без доступа не остаться. Вторую сессию там откройте и не закрывайте её, пока не убедитесь, что всё работает как надо.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
nerve
Сообщения: 280
ОС: OpenBSD

Re: SSH, его логи и актуальные настройки 2017

Сообщение nerve »

Bizdelnick писал(а):
31.07.2017 10:34
Ну и на красношапочных системах какую-то ненужность вроде бы надо было выключить, чтобы не тормозила.

Usedns no?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: SSH, его логи и актуальные настройки 2017

Сообщение Bizdelnick »

nerve писал(а):
01.08.2017 17:31
Bizdelnick писал(а):
31.07.2017 10:34
Ну и на красношапочных системах какую-то ненужность вроде бы надо было выключить, чтобы не тормозила.

Usedns no?

Да.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Ответить