настройка ubuntu
Модератор: SLEDopit
настройка ubuntu
здравствуйте. настраиваю убунту в плане сетевой безопасности. Поправил ssh добавил
Protocol 2
PasswordAuthentication yes
PermitEmptyPasswords no
PermitRootLogin no
У установил fail2ban. Можно еще что-нибудь сделать?
Protocol 2
PasswordAuthentication yes
PermitEmptyPasswords no
PermitRootLogin no
У установил fail2ban. Можно еще что-нибудь сделать?
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: настройка ubuntu
Можно.
Код: Выделить всё
PasswordAuthentication no
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: настройка ubuntu
правил ssh_config.
PasswordAuthentication yes вроде бы для того, чтобы заходил по паролю, а no без пароля. щас еще поищу.
PasswordAuthentication yes вроде бы для того, чтобы заходил по паролю, а no без пароля. щас еще поищу.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: настройка ubuntu
no — для того, чтобы не заходил по паролю.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
Re: настройка ubuntu
а если не разрешить PubkeyAuthentication yes то вообще удаленно не зайдешь? - Аутентификация на основе SSH2 RSA-ключей
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: настройка ubuntu
Ну какой-то из вариантов аутентификации по любому надо оставить. По ключу однозначно безопаснее. Можно и что-то более параноидальное придумать, например требовать и ключ, и пароль, использовать host-based аутентификацию или ещё что-то. Для борьбы с брутфорсерами как правило достаточно настроить вход только по ключу.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: настройка ubuntu
Вот вопрос - по паролю или ключу ( что безопаснее) вечный спор. Разумеется, по ключу безопаснее, но ...
Мне лично неудобно по ключу, так как я могу заходить с разных мест и разных устройств, например с телефона или планшета.
А если Вы случайно стерли ключ - как зайдете?
А если Ваше устройство попало к другому - и он зайдет раньше Вас и станет root?
Можно.
1 - самое главное - сменить порт SSH на нестандартный, например 22034 или любой другой.
2 - желательно, ограничть время бездействющей сессии и время на авторизацию
например:
ClientAliveInterval 300
ClientAliveCountMax 0
LoginGraceTime 30
3 - fail2ban - увеличить время "просмотра", например
findtime = 43200
4 - если заходите по SSH на компьютер с одного постоянного адреса,
host-based (hosts.allow, host.deny), как сказал Bizdelnick, Вам в помощь.
На практике, достаточно изменить порт и правильно настроить
ssh и fail2ban.
Мне лично неудобно по ключу, так как я могу заходить с разных мест и разных устройств, например с телефона или планшета.
А если Вы случайно стерли ключ - как зайдете?
А если Ваше устройство попало к другому - и он зайдет раньше Вас и станет root?
Можно еще что-нибудь сделать?
Можно.
1 - самое главное - сменить порт SSH на нестандартный, например 22034 или любой другой.
2 - желательно, ограничть время бездействющей сессии и время на авторизацию
например:
ClientAliveInterval 300
ClientAliveCountMax 0
LoginGraceTime 30
3 - fail2ban - увеличить время "просмотра", например
findtime = 43200
4 - если заходите по SSH на компьютер с одного постоянного адреса,
host-based (hosts.allow, host.deny), как сказал Bizdelnick, Вам в помощь.
На практике, достаточно изменить порт и правильно настроить
ssh и fail2ban.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: настройка ubuntu
За Ваши устройства не скажу, а на моих устройствах все ключи запаролены, к тому же
Мёртвому припарки. Просканировать порты и обнаружить, на котором отвечает SSH, займет не больше минуты. Случайные боты так делать вряд ли будут (хотя кто их знает), но могут ведь быть и неслучайные.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
Re: настройка ubuntu
Мёртвому припарки.
Честно - порадовался, когда-то довеллось работь в организации где было 24 роутера на линуксе на стандартном порту. Админ уволился и это всё досталось мне. Сменил порт - все боты отвалились.
Вот опять ввод пароля, или на вход или на доступ к ключу - его всё равно надо вводить.а на моих устройствах все ключи запаролены
А это здесь причем, если узнали логин и пароль root?PermitRootLogin no
Не случайных можно "встретить" ползователем ИванВаильевич19552322 и паролем Славаunixforum12лет!!!.но могут ведь быть и неслучайные
И пусть себе брутфорсят. Да и по настройке fail2ban сейчас уже много документации, ставится и работает без проблем.
Просто лично мне работа с ключами не нравится, долго обяснять, но главное - если нет этого ключа и в ssh запрещен вход по паролю, то как тогда подключиться?
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: настройка ubuntu
Они Вас беспокоили? fail2ban не справлялся?
А вот уволитесь Вы — то-то же новый админ порадуется, пытаясь подключиться.
man ssh-agent
man keychain
При том, что по SSH с этими логином и паролем не войдёшь. Кстати, логин root узнать ни разу не проблема. ☺
Чего там документировать-то? Для SSH он из коробки нормально настроен, ставишь — и работает. В Debian, по крайней мере.
Нет этого ключа — подключитесь с другим.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: настройка ubuntu
чтото там еще много чего можно запретить, разрешить
Re: настройка ubuntu
А вот уволитесь Вы — то-то же новый админ порадуется, пытаясь подключиться.
Просканировать порты и обнаружить, на котором отвечает SSH, займет не больше минуты.
Вы уж точно решите, первое или второе.
При том, что по SSH с этими логином и паролем не войдёшь.
Вопрос темы - настройка Ubuntu, а не дебиан. Напомню, они малька различаются.
Для SSH он из коробки нормально настроен, ставишь — и работает. В Debian, по крайней мере.
Да, это точно, а подскажита тогда, что там у Вас в дебиане написано для действия action, а кстати, там правда из коробки, сразу почтовый адрес пользователя прописан - удивительно, как они его угадывают.
Да не хочу я вообще ни скаким ключом, не хочу, пароль - примеры логинов и паролей я привел,
когда можно обойтись без fail2ban.
Также man iptables.
(Извяняюсь за оффтопик, но по большому счету, fail2ban - просто "капкан", который можно быстро поставить и настроить. И довольно надежный. Но если хочется сделать красиво и гибко, как это можно сделать в nix, то iptables. )
чтото там еще много чего можно запретить, разрешить
1 - самое главное - сменить порт SSH на нестандартный, например 22034 или любой другой.
3 - fail2ban - увеличить время "просмотра", например findtime = 43200.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: настройка ubuntu
Одно другому не противоречит. Кто придёт с целью взломать, у того будет готовый арсенал для поиска всех возможных лазеек, а админ будет долго тыкаться разными способами (в конце концов, если человек пришёл к себе домой, фигли он должен через форточку лезть?).
Вы ещё скажите, что ubuntu является самостоятельным дистрибутивом, ага. В контексте обсуждаемого вопроса — не понял, о чём Вы.
Код: Выделить всё
# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s", sendername="%(sendername)s"]
# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s", sendername="%(sendername)s"]
# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s
А Вы что, предпочитаете про каждого забаненного бота отчёт на почту получать? Дело Ваше, конечно, но вот мне, например, и без того спама хватает.
Совершенно правильно угадывают:
Код: Выделить всё
destemail = root@localhost
Вот это действительно весомый аргумент. Раз не хотите — не надо, конечно.
Один надёжный пароль защищает одного юзера, а безопасность должна быть глобальной. Создадите потом для чего-нибудь юзера test/test, забудете его удалить, а на следующий день от Вас уже спам рассылают.
Между нами говоря, fail2ban использует iptables (что, безусловно, подтверждает красоту и гибкость последнего).
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: настройка ubuntu
Настройки по умолчанию вполне разумны. Если хотите серьёзно заморочиться — man sshd_config в помощь, но Вы не там ищете потенциальные дыры.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 125
Re: настройка ubuntu
Есчё есть очень хорошая софтинка Denyhosts (тыц). Она хороша тем что раз в несколько часов идет на сервер центролизованый и скачивает базу плохих ip + загружает в общаг то что сама на банила за это вроемя.
Re: настройка ubuntu
этот проект еще живой?
http://stats.denyhosts.net/stats.html
Page last updated at: Jul 17, 2011 12:30 PM PDT
Looking for the latest version? Download DenyHosts-2.6.tar.gz
DenyHosts-2.6.tar.gz 2006-12-07
http://stats.denyhosts.net/stats.html
Page last updated at: Jul 17, 2011 12:30 PM PDT
Looking for the latest version? Download DenyHosts-2.6.tar.gz
DenyHosts-2.6.tar.gz 2006-12-07
ad infinitum
-
- Сообщения: 125
Re: настройка ubuntu
ieleja писал(а): ↑23.09.2016 02:39этот проект еще живой?
http://stats.denyhosts.net/stats.html
Page last updated at: Jul 17, 2011 12:30 PM PDT
Looking for the latest version? Download DenyHosts-2.6.tar.gz
DenyHosts-2.6.tar.gz 2006-12-07
походу уже нет, но им есче пользуются
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: настройка ubuntu
Есть вроде бы живой форк. И вроде бы он даже есть в репах убунты.
Но не думаю, что от него много больше проку по сравнению с fail2ban.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 125
Re: настройка ubuntu
Bizdelnick писал(а): ↑23.09.2016 10:57
Есть вроде бы живой форк. И вроде бы он даже есть в репах убунты.
Но не думаю, что от него много больше проку по сравнению с fail2ban.
ну почему же, у него есть 1 приятная фича которую я описывал выше
HorekRediskovich писал(а): ↑23.09.2016 01:54Она хороша тем что раз в несколько часов идет на сервер центролизованый и скачивает базу плохих ip + загружает в общаг то что сама на банила за это вроемя.
Тем самым немножко увеличивается время реакции
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: настройка ubuntu
HorekRediskovich писал(а): ↑23.09.2016 13:22Она хороша тем что раз в несколько часов идет на сервер центролизованый и скачивает базу плохих ip + загружает в общаг то что сама на банила за это вроемя.
А этот централизованный сервер жив?
К тому же ботов сейчас настолько до фига, и плодятся и умирают они настолько быстро, что пытаться синхронизировать инфу о них IMHO смысла не имеет.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |