jak se branit ssh utoku?

Martin Salac salac at certicon.cz
Mon Mar 14 09:12:33 CET 2005


Cizek Milan wrote:
> Ahoj,

Ahoj,

> uz neco pres 2 mesice se mi snazi kdosi z taiwanu rozlousknout heslo pres
> ssh, zkousi ruzne ucty (root,mysql...) a hesla, mam toho plne logy. Nechapu
> o co mu jde, kdyz muj stroj neni nijak zajimavy, ale ma vydrz. 

Mno, podle techto informaci to vypada na nejakeho troubu, ktery se tim
bavi, zkousi podle me slovnikova hesla na ruzne typicke systemove
uzivatele (co kdybys je mel povolene) nejakym robotem-generatorem.

Moc bych se tim nevzrusoval, myslim, ze kazdy kdo ma nejaky *N*X a
povolene world-wide sshcko toho ma plne logy.

> IP adresa
> utocnika je dynamickoa. Rad bych jeho pokusum nejak zabranil, ale ssh z
> internetu pouzivam take. Chci se tedy zeptat, jestli nelze vytvorit napr.
> nejake ipfw parvidlo, ktere by umoznovalo ssh pripojeni pouze z .cz domen?

Jop - to samozrejme lze, urcite existuje efektivnejsi cesta, nez ted
navrhnu: mrknout na RIPE, ARIN, APNIC, LACNIC (popr. AIANA) a zjistit si
bud co patri Cesku nebo Tchajwanu a nasadit to do fw - slabina - co
mezinarodni domeny (jako .net, .org ...) a tky se to cas od casu meni.
Prima seznam, jsem taky nasel v souboru:
/usr/local/etc/ntop/p2c-opt-table.gz, pokud si nainstalujete port ntop.

> Reseni pro mne neni az tak zasadni, ale zajimalo by mne, jaka obrana je
> mozna. Nebo to proste nenchat byt? Diky

Myslim, ze staci mit silna hesla (silna ve smyslu neslovnikova, spatne
generovatelna s nahodnymi velkymi pismeny, cislicemi i jinymi znaky) a
nemusite se bat. Lepsi reseni: prihlasovat se klicem. Jeste lepsi
reseni: prihlasovat se s klicem s passphrazi.
Zneprijemnit zivot (utocnikovi) se da take trosku tim, ze nastavis
nejakou dobu na znemozneni prihlaseni, pokud zada heslo spatne
nekolikrat za sebou.
Dal mas moznost obscurity reseni (hodne se uz o tom tady napovidalo -
je to vcelku na nic, mozna to "oblafne" par tupych robotu, kteri jdou
fixne po 22ce) a to prehodit ssh na jiny port.

Mno, tot asi tak vsjo, verim, ze moudrejsi nez ja dodaji vice
efektivnejsich reseni.

> Milan

Zdravi

Martin



More information about the Users-l mailing list