Witam mam pytanie czy usługa np. w Linuxie jest bezpieczna chodzi mi o to ,że czasami wykorzystuje SSH do łączenia się do różnych komputerów. I ciekawi mnie (nie znam się na tym dopier raczkuje w tym) czy jeżeli ktoś zna mój adres IP i będzie próbował się włamać chociażby metodą brute-force to czy mu się to uda jak mam proste hasło powiedzmy "poiuy" ?
0
0
Hmm... Jeśli te komputery nie stoją w LANie, to nie ma szans na złamanie nawet takiego hasła, bo trzeba sporo czekać na odpowiedź serwera. Myślę że to wszystko zależy od tego jak sobie skonfigurujesz reguły bezpieczeństwa - user powinien być banowany jeśli spamuje czymś tam, nie zależnie w jakiej usłudze.
0
no na razie zmieniłem na niestandardowy port a czemu uważasz ,że czas odpowiedzi servera jest długi wręcz błyskawicznie mi się to zawsze wykonuje a co do banowania to rozumiem IP? a i komputery nie stoją na Lanie
0
Jakby nie bylo temat rzeka, jesli chodzi o bezpieczenstwo SSH na Linuchu ;p
Brute force tak czy inaczej przy prostym hasle ma racje bytu. Chcesz miec ssh zabezpieczone przed powiedzmy osobami, ktore znaja jedynie metode brute force to wymysl lepsze haslo, a jak chcesz miec nie do zlamania serwer ssh to raczej nie ma szans, ale to jest moje zdanie. Pierwszym czynnikiem zagrazajacym bezpieczenstwu Twojego serwera jestes Ty, a skoro masz nie wielkie pojecie o tym jak sie zabezpieczyc to tym bardziej serwer moze pasc.
To jest takie gdybanie co by bylo gdyby ktos sie chcial wlamac, wiec mysle ze nie ma sensu o tym rozmawiac, tylko trzeba poczynic odpowiednie kroki, zeby takiej osobie znacznie to utrudnic.
Zacznij moze najpierw od doglebnego poznania iptables pod Linuksa, dzieki czemu bedziesz mogl kontrolowac ruch sieciowy dotyczacy Twojego serwera, wpuszczac pakiety, przepuszczac, czy przyjmowac. To Ty powinienes decydowac o tym co ma przejsc itd.
Nastepnie poznaj dokladnie samo ssh, tak zebys odpowiednio mogl to skonfigurowac.
Te dwie czynnosci to tylko poczatek gory lodowej do zabezpieczenia serwera, ale jak to opanujesz to gwarantuje, ze bedziesz mogl juz mowic, ze serwer jest zabezpieczony.
0
Nie interesuje mnie zabezpieczeni servera tylko zabezpieczenie komputera czasami raz na tydzień może tego używam aby podłączyć się do brata komputera i ustawić mu coś itp. więc pytanie czy jak z tego nie korzystam czy ktoś się może włamać nie wiem jak może wpisuje se na ślepo IP i akurat w moje trafi o taki bardziej przykład mi chodzi bo jeżeli ktoś będzie zdeterminowany włamać mi się to to zrobi. No i czy można powiedzmy wyłączać włączać server SSH jak tak to jaką komendą bo raczej nic o tym nie mogę znaleźć.
0
Mowisz, ze nie interesuje Cie zabezpieczenie serwera tylko komputera, a zaraz pytasz sie jak wylaczyc serwer.
O to odpowiedz dla Slackware:
/etc/rc.d/ssh stop
/etc/rc.d/ssh start
dla Ubuntu:
/etc/init.d/ssh stop
/etc/init.d/ssh start
Jak chcesz go na dluzej wylaczyc, a masz ustawione uruchamianie wraz z systemem to daj mu chmoda -x, czyli
chmod -x /sciezka/ssh
Mozesz tez go wywalic z uruchamiania przy starcie ale to tez zalezy od dystrybucji, wiec nie bede juz pisal :D
Co do zabezpieczania komputera nie serwera, to najpierw jakies podstawy nabadz z zakresu bezpieczenstwa, poniewaz jakbys mial podstawy wiedzialbys, ze aby komputer byl bezpieczny po pierwsze musza byc zdalne uslugi zabezpieczone(nie mowiaz juz o swiadomosci uzytkownika/ow), czyli to o czym napisalem. Wiedzy jak zabezpieczyc system, niestety nie jestem w stanie przedstawic w jednym poscie.
0
No dobrze żle sprecyzowałem zabezpieczyć komputer ale wyłączyć usługę servera SSH (Open SSH server) używam Debian/Ubuntu (prawie to samo) a co do usług startowych nie jestem w pełni w konsoli opanowany ale w System->Preferencje->Preferencje programów startowych nie widzę ,żadnej usługi SSH.
0
Napisz jaki system, moze bede wiedzial, a jak nie ja to ktos inny na pewno.
0
Nie wiem dlaczego ale nie zauwazylem ze napisales Debian/Ubuntu, wiec tak:
cd /etc/modprobe.d/
vi blacklist.conf
w tym pliku szukasz ssh i na poczatku linijki, w ktorej bedzie dajesz #(hash), czyli zakomentowujesz ;)
0
ale to po prostu zablokuje SSH? ale to akurat mnie nie interesuje ;) chodzi mi o bardziej zabezpieczenie SSH np włączenie go tylko kiedy dam komęde start jak pisałeś wyżej :) albo zezwolić tylko danemu użytkownikowi logować się.
0
Nie zablokuje, tylko nie bedzie sie ladowac przy starcie, a tylko wtedy kiedy wlaczysz recznie tak jak wyzej napisalem.
Co do tego, aby wybrani uzytkownicy sie mogli do Ciebie logowac to szczerze w openssh nie pamietam jak sie konfigurowalo to, ale w iptables daj sobie takie regulki i bedzie dobrze:
iptables -F <- czysci ustawienia, MOZE TEGO LEPIEJ NIE DAWAJ, bo nie chce mi sie tlumaczyc reszty ;p
iptables -P INPUT DROP <- wylaczenie calkowite laczenia sie z Toba, oczywiscie uwzgledniajac ponizsze reguly
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <- nikt sie z Toba nie polaczy bez Twojej "zgody"
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 23 -j ACCEPT <- tylko 127.0.0.1 moze sie z Toba polaczyc przez ssh
0
no dobrze zapytam się przy okazji jak zmieniłem port np 765 jak mam przez ssh się łączyć do tamtego komputera(port na nim zmieniłem)
pisze ssh [email protected]:765 ale nie łączy się dostaje
Name or service not known
a jak nie pisze portu to pisze ,że odrzucono na porcie 22
a w blacklist.conf nie ma nic z SSH
0
Jesli po tych zmianach w iptables to zmien tam port z 23 na jaki chcesz, a jak masz na tym i na tym to wpisz dwie takie linijki z innymi portami i zmien oczywiscie ip na ip komputera, ktory ma sie z Toba laczyc, a jak to nie pomoze to:
iptables -P OUTPUT ACCEPT <- moze zmieniles na drop, czy cos :D, do FORWARD tez mozesz dac jak nie ma ACCEPT, ale lepiej doczytac i zrobic to pozadnie
Jesli nie chodzi o zmiany w iptables to nie wiem o co chodzi, za malo informacji ;p
0
tzn tak nie zmieniałem nic w tym tylko w sshd.confg port zmieniłem
0
To jak nie ma w blacklist.conf to sam dopsisz linijke:
blacklist ssh
Pomieszalem z tym hashem, poniewaz jakby byl to musialbys odhashowac, poniewaz tam sa moduly, ktore maja sie nie ladowac, a nie te ktore sie laduja.
0
aha a podpowiesz mi jak się połączyć do tego mojego drugiego kompa jak TYLKO w sshd_config zmieniłem port z 22 na inny?
0
Nie lacz sie przez przegladarke tylko normalnie przez konsole, wszystko masz w podreczniku man, ale przyklad dam:
ssh host_z_ktorym_sie_laczysz -p port
0
aaa widzisz wpisywałem ":" a nie -p :) i łącze się przez konsole ;)
0
Gelldur: może i czas odpowiedzi serwera wydaje ci się zawrotny. Mimo wszystko atak brutem na serwer SSH w ciągu minuty, zakładając że nie mamy żadnych zabezpieczeń i że czas dojścia pakietu, sprawdzenia hasła, przygotowania odpowiedzi i otrzymania jej przez klienta liczą w sumie 300ms jest w stanie wypróbować tylko 200 haseł. (O ile dobrze policzyłem, w każdym razie i tak wynik nie będzie zawrotny)
0
aha no dobrze teraz po takich liczbach moge się zgodzić :)
mam tylko poblem łącze się do SSH przez ten port i mam komunikat ;/
Connection closed by 93.xx.xx.xx
0
Albo nie podales loginu i hasla, albo druga strona ma wylaczony komputer/serwer, albo nie dopuszcza Cie do swoich danych ;)
0
dziwne zmieniłem tam port poprzez telefon i brata na standardowy i działa ale jak zmieniam tam na port inny jak standardowy to nie działa ciekawe czemu nic nigdzie indziej nie modyfikuje jak sshd_config komp włączony
0
Potrzeba wiecej informacji do diagnozy, wiec wrzuc logi polaczenia przy ktorym Ci przerwalo i zobaczymy. Oczywiscie logi z jego kompa i ze swojego.
0
ha no aż tak zaawansowany nie jestem :) skąd je wziąć? jeszcze chwilkę popróbuje ;)
0
W /var/log tego poszukaj.
0
dobra niby działa jest taka możliwość ,że użyłem za dużego portu? bo jak ustawiłem na 23 to działa a wcześniej miałem 1206 ma to jakiś związek zaraz wkleję logi
0
To ja się tak niemądrze spytam - po jakiego c**** zmieniać numer portu SSH?
0
hmm zmieniam po to aby było bezpieczniej może mam omylne wrażenie :) (zapewne tak)
0
Nie jest bezpieczniej, tylko mniej syfiaście w logach. ;>
0
Najprostsze zablokuj dostęp wszystkim IP oprócz tego (albo tych), z którego się logujesz na serwer ssh. Chyba że masz zmienne to gorzej, ale wtedy tez mozna wyciąć większość innych (np jak masz neo z okreslonego regionu to reszte banujesz).