настройка ubuntu

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

alll
Сообщения: 25
ОС: openSUSE

настройка ubuntu

Сообщение alll »

здравствуйте. настраиваю убунту в плане сетевой безопасности. Поправил ssh добавил

Protocol 2
PasswordAuthentication yes
PermitEmptyPasswords no
PermitRootLogin no

У установил fail2ban. Можно еще что-нибудь сделать?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: настройка ubuntu

Сообщение Bizdelnick »

Можно.

Код: Выделить всё

PasswordAuthentication no
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

alll
Сообщения: 25
ОС: openSUSE

Re: настройка ubuntu

Сообщение alll »

правил ssh_config.
PasswordAuthentication yes вроде бы для того, чтобы заходил по паролю, а no без пароля. щас еще поищу.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: настройка ubuntu

Сообщение Bizdelnick »

alll писал(а):
19.09.2016 20:55
PasswordAuthentication yes вроде бы для того, чтобы заходил по паролю, а no без пароля. щас еще поищу.

no — для того, чтобы не заходил по паролю.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

alll
Сообщения: 25
ОС: openSUSE

Re: настройка ubuntu

Сообщение alll »

а если не разрешить PubkeyAuthentication yes то вообще удаленно не зайдешь? - Аутентификация на основе SSH2 RSA-ключей
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: настройка ubuntu

Сообщение Bizdelnick »

alll писал(а):
19.09.2016 21:09
а если не разрешить PubkeyAuthentication yes то вообще удаленно не зайдешь?

Ну какой-то из вариантов аутентификации по любому надо оставить. По ключу однозначно безопаснее. Можно и что-то более параноидальное придумать, например требовать и ключ, и пароль, использовать host-based аутентификацию или ещё что-то. Для борьбы с брутфорсерами как правило достаточно настроить вход только по ключу.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Institut
Сообщения: 281
ОС: mint

Re: настройка ubuntu

Сообщение Institut »

Вот вопрос - по паролю или ключу ( что безопаснее) вечный спор. Разумеется, по ключу безопаснее, но ...
Мне лично неудобно по ключу, так как я могу заходить с разных мест и разных устройств, например с телефона или планшета.
А если Вы случайно стерли ключ - как зайдете?
А если Ваше устройство попало к другому - и он зайдет раньше Вас и станет root?
Можно еще что-нибудь сделать?

Можно. :rolleyes:
1 - самое главное - сменить порт SSH на нестандартный, например 22034 или любой другой.
2 - желательно, ограничть время бездействющей сессии и время на авторизацию
например:
ClientAliveInterval 300
ClientAliveCountMax 0
LoginGraceTime 30
3 - fail2ban - увеличить время "просмотра", например
findtime = 43200
4 - если заходите по SSH на компьютер с одного постоянного адреса,
host-based (hosts.allow, host.deny), как сказал Bizdelnick, Вам в помощь.

На практике, достаточно изменить порт и правильно настроить
ssh и fail2ban. :rolleyes:
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: настройка ubuntu

Сообщение Bizdelnick »

Institut писал(а):
20.09.2016 21:55
А если Ваше устройство попало к другому - и он зайдет раньше Вас и станет root?

За Ваши устройства не скажу, а на моих устройствах все ключи запаролены, к тому же
alll писал(а):
19.09.2016 20:14
PermitRootLogin no

Institut писал(а):
20.09.2016 21:55
изменить порт
Мёртвому припарки. Просканировать порты и обнаружить, на котором отвечает SSH, займет не больше минуты. Случайные боты так делать вряд ли будут (хотя кто их знает), но могут ведь быть и неслучайные.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Institut
Сообщения: 281
ОС: mint

Re: настройка ubuntu

Сообщение Institut »

Мёртвому припарки.
:laugh:
Честно - порадовался, когда-то довеллось работь в организации где было 24 роутера на линуксе на стандартном порту. Админ уволился и это всё досталось мне. Сменил порт - все боты отвалились.
а на моих устройствах все ключи запаролены
Вот опять ввод пароля, или на вход или на доступ к ключу - его всё равно надо вводить.
PermitRootLogin no
А это здесь причем, если узнали логин и пароль root?
но могут ведь быть и неслучайные
Не случайных можно "встретить" ползователем ИванВаильевич19552322 и паролем Славаunixforum12лет!!!.
И пусть себе брутфорсят. Да и по настройке fail2ban сейчас уже много документации, ставится и работает без проблем.
Просто лично мне работа с ключами не нравится, долго обяснять, но главное - если нет этого ключа и в ssh запрещен вход по паролю, то как тогда подключиться?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: настройка ubuntu

Сообщение Bizdelnick »

Institut писал(а):
21.09.2016 22:50
Честно - порадовался, когда-то довеллось работь в организации где было 24 роутера на линуксе на стандартном порту. Админ уволился и это всё досталось мне. Сменил порт - все боты отвалились.

Они Вас беспокоили? fail2ban не справлялся?
А вот уволитесь Вы — то-то же новый админ порадуется, пытаясь подключиться.

Institut писал(а):
21.09.2016 22:50
Вот опять ввод пароля, или на вход или на доступ к ключу - его всё равно надо вводить.

man ssh-agent
man keychain

Institut писал(а):
21.09.2016 22:50
А это здесь причем, если узнали логин и пароль root?

При том, что по SSH с этими логином и паролем не войдёшь. Кстати, логин root узнать ни разу не проблема. ☺

Institut писал(а):
21.09.2016 22:50
по настройке fail2ban сейчас уже много документации

Чего там документировать-то? Для SSH он из коробки нормально настроен, ставишь — и работает. В Debian, по крайней мере.

Institut писал(а):
21.09.2016 22:50
если нет этого ключа и в ssh запрещен вход по паролю, то как тогда подключиться?

Нет этого ключа — подключитесь с другим.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

alll
Сообщения: 25
ОС: openSUSE

Re: настройка ubuntu

Сообщение alll »

чтото там еще много чего можно запретить, разрешить
Спасибо сказали:

Institut
Сообщения: 281
ОС: mint

Re: настройка ubuntu

Сообщение Institut »

А вот уволитесь Вы — то-то же новый админ порадуется, пытаясь подключиться.

Просканировать порты и обнаружить, на котором отвечает SSH, займет не больше минуты.

Вы уж точно решите, первое или второе. :rolleyes:
При том, что по SSH с этими логином и паролем не войдёшь.

Вопрос темы - настройка Ubuntu, а не дебиан. Напомню, они малька различаются.
Для SSH он из коробки нормально настроен, ставишь — и работает. В Debian, по крайней мере.

Да, это точно, а подскажита тогда, что там у Вас в дебиане написано для действия action, а кстати, там правда из коробки, сразу почтовый адрес пользователя прописан - удивительно, как они его угадывают. :rolleyes:
Да не хочу я вообще ни скаким ключом, не хочу, пароль - примеры логинов и паролей я привел,
когда можно обойтись без fail2ban.
Также man iptables.
(Извяняюсь за оффтопик, но по большому счету, fail2ban - просто "капкан", который можно быстро поставить и настроить. И довольно надежный. Но если хочется сделать красиво и гибко, как это можно сделать в nix, то iptables. )

чтото там еще много чего можно запретить, разрешить

1 - самое главное - сменить порт SSH на нестандартный, например 22034 или любой другой.
3 - fail2ban - увеличить время "просмотра", например findtime = 43200.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: настройка ubuntu

Сообщение Bizdelnick »

Institut писал(а):
22.09.2016 21:27
Вы уж точно решите, первое или второе.

Одно другому не противоречит. Кто придёт с целью взломать, у того будет готовый арсенал для поиска всех возможных лазеек, а админ будет долго тыкаться разными способами (в конце концов, если человек пришёл к себе домой, фигли он должен через форточку лезть?).

Institut писал(а):
22.09.2016 21:27
Вопрос темы - настройка Ubuntu, а не дебиан. Напомню, они малька различаются.

Вы ещё скажите, что ubuntu является самостоятельным дистрибутивом, ага. В контексте обсуждаемого вопроса — не понял, о чём Вы.

Institut писал(а):
22.09.2016 21:27
подскажита тогда, что там у Вас в дебиане написано для действия action

Код: Выделить всё

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s", sendername="%(sendername)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s", sendername="%(sendername)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

А Вы что, предпочитаете про каждого забаненного бота отчёт на почту получать? Дело Ваше, конечно, но вот мне, например, и без того спама хватает.

Institut писал(а):
22.09.2016 21:27
а кстати, там правда из коробки, сразу почтовый адрес пользователя прописан - удивительно, как они его угадывают

Совершенно правильно угадывают:

Код: Выделить всё

destemail = root@localhost


Institut писал(а):
22.09.2016 21:27
Да не хочу я вообще ни скаким ключом, не хочу

Вот это действительно весомый аргумент. Раз не хотите — не надо, конечно.

Institut писал(а):
22.09.2016 21:27
примеры логинов и паролей я привел,
когда можно обойтись без fail2ban.

Один надёжный пароль защищает одного юзера, а безопасность должна быть глобальной. Создадите потом для чего-нибудь юзера test/test, забудете его удалить, а на следующий день от Вас уже спам рассылают.

Institut писал(а):
22.09.2016 21:27
fail2ban - просто "капкан", который можно быстро поставить и настроить. И довольно надежный. Но если хочется сделать красиво и гибко, как это можно сделать в nix, то iptables.

Между нами говоря, fail2ban использует iptables (что, безусловно, подтверждает красоту и гибкость последнего).
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: настройка ubuntu

Сообщение Bizdelnick »

alll писал(а):
22.09.2016 19:38
чтото там еще много чего можно запретить, разрешить

Настройки по умолчанию вполне разумны. Если хотите серьёзно заморочиться — man sshd_config в помощь, но Вы не там ищете потенциальные дыры.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

HorekRediskovich
Сообщения: 125

Re: настройка ubuntu

Сообщение HorekRediskovich »

Есчё есть очень хорошая софтинка Denyhosts (тыц). Она хороша тем что раз в несколько часов идет на сервер центролизованый и скачивает базу плохих ip + загружает в общаг то что сама на банила за это вроемя.
Спасибо сказали:

Аватара пользователя
ieleja
Сообщения: 307
ОС: Debian 9, macOS, Windows

Re: настройка ubuntu

Сообщение ieleja »

этот проект еще живой?

http://stats.denyhosts.net/stats.html
Page last updated at: Jul 17, 2011 12:30 PM PDT

Looking for the latest version? Download DenyHosts-2.6.tar.gz
DenyHosts-2.6.tar.gz 2006-12-07
ad infinitum
Спасибо сказали:

HorekRediskovich
Сообщения: 125

Re: настройка ubuntu

Сообщение HorekRediskovich »

ieleja писал(а):
23.09.2016 02:39
этот проект еще живой?

http://stats.denyhosts.net/stats.html
Page last updated at: Jul 17, 2011 12:30 PM PDT

Looking for the latest version? Download DenyHosts-2.6.tar.gz
DenyHosts-2.6.tar.gz 2006-12-07

походу уже нет, но им есче пользуются
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: настройка ubuntu

Сообщение Bizdelnick »

ieleja писал(а):
23.09.2016 02:39
этот проект еще живой?

Есть вроде бы живой форк. И вроде бы он даже есть в репах убунты.
Но не думаю, что от него много больше проку по сравнению с fail2ban.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

HorekRediskovich
Сообщения: 125

Re: настройка ubuntu

Сообщение HorekRediskovich »

Bizdelnick писал(а):
23.09.2016 10:57
ieleja писал(а):
23.09.2016 02:39
этот проект еще живой?

Есть вроде бы живой форк. И вроде бы он даже есть в репах убунты.
Но не думаю, что от него много больше проку по сравнению с fail2ban.

ну почему же, у него есть 1 приятная фича которую я описывал выше
HorekRediskovich писал(а):
23.09.2016 01:54
Она хороша тем что раз в несколько часов идет на сервер центролизованый и скачивает базу плохих ip + загружает в общаг то что сама на банила за это вроемя.

Тем самым немножко увеличивается время реакции
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 17911
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: настройка ubuntu

Сообщение Bizdelnick »

HorekRediskovich писал(а):
23.09.2016 13:22
Она хороша тем что раз в несколько часов идет на сервер центролизованый и скачивает базу плохих ip + загружает в общаг то что сама на банила за это вроемя.

А этот централизованный сервер жив?
К тому же ботов сейчас настолько до фига, и плодятся и умирают они настолько быстро, что пытаться синхронизировать инфу о них IMHO смысла не имеет.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали: