Sargas 52 Опубліковано: 2013-06-02 00:07:19 Share Опубліковано: 2013-06-02 00:07:19 =) Ссылка на сообщение Поделиться на других сайтах
UStas_rinet 43 Опубліковано: 2013-06-02 08:18:22 Share Опубліковано: 2013-06-02 08:18:22 Вообще по феншую делать так:- меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас - делаете персональные ключи для аутентификации и на сервак ходите только по ключам ( ключи персональные, ими не делится ) - в ssh отключаете аутентификацию по паролю - Через find найдите все файлы созданные/измененные за месяц, если это просто роутер то там будет только всякие логи, пиды ну и новые "друзья" их просто удалите. - Проверьте /etc/passwd на предмет новых юзеров с невменяемыми названиями. Проследите чтоб у изначально системных логинов не было изменено шелла (обычно у них стоит какой то /sbin/nologin из под которого нельзя удаленно попасть на сервак). - Проверьте файл /etc/sudoers если используете sudo - Обновите ПО Закрывать ссш наружу не всегда вариант, казявка может быть и в вашей сети, или вобще вашим занкомым имеющим пароль на сервак и решив его поюзать в своих интересах. Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2013-06-02 09:12:09 Share Опубліковано: 2013-06-02 09:12:09 (відредаговано) Вообще по феншую делать так: - меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас - делаете персональные ключи для аутентификации и на сервак ходите только по ключам ( ключи персональные, ими не делится ) - в ssh отключаете аутентификацию по паролю ... Закрывать ссш наружу не всегда вариант, казявка может быть и в вашей сети, или вобще вашим занкомым имеющим пароль на сервак и решив его поюзать в своих интересах. Еще навесить denyhosts или аналог. Отлично защищает от подбора паролей. ОС надо переустанавливать, конечно. Система уже скомпроментирована, доверия ей никакого. После получения рутового доступа гадость может сидеть где угодно, вплоть до того что система на самом деле сейчас может работать в виртуалке. Відредаговано 2013-06-02 09:12:31 madf Ссылка на сообщение Поделиться на других сайтах
UStas_rinet 43 Опубліковано: 2013-06-02 09:37:19 Share Опубліковано: 2013-06-02 09:37:19 denyhosts лишнее, перебора не будет как такового при отключенной возможности ввести пароль. Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-02 13:11:59 Share Опубліковано: 2013-06-02 13:11:59 Закрывать ссш наружу не всегда вариант, казявка может быть и в вашей сети, или вобще вашим занкомым имеющим пароль на сервак и решив его поюзать в своих интересах. Ну так и сам админ может бэкдоры на клиентские машинки ставить и до одного места тогда все остальное. Ссылка на сообщение Поделиться на других сайтах
John_Doe 301 Опубліковано: 2013-06-02 16:57:45 Share Опубліковано: 2013-06-02 16:57:45 можно еще юзать sshit не то чтобы панацея но вполне себе метод от брутфорса ssh,лежит в портах прикручивается за 5 минут Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-02 17:05:31 Share Опубліковано: 2013-06-02 17:05:31 Лучше начните с основ - белых списков, tcp wrappers в sshd ведь на всех системах включен по дефолту. Открываете /etc/hosts.allow и пишите туда только свои айпишники, например: sshd : 1.1.1.1 1.1.1.2 : allow sshd : 2.2.2. : allow sshd : ALL : deny Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2013-06-02 18:04:22 Share Опубліковано: 2013-06-02 18:04:22 После получения рутового доступа гадость может сидеть где угодно, вплоть до того что система на самом деле сейчас может работать в виртуалке.Строго говоря - гадость может сидеть уже даже в биосе Прецеденты "бирусов" уже есть. Ссылка на сообщение Поделиться на других сайтах
Melanxolik 63 Опубліковано: 2013-06-02 19:42:38 Share Опубліковано: 2013-06-02 19:42:38 tttttотлично, но может тогда загляните в хендбук и увидете как должен быть запущен процесс чтобы вот эта штука работала? Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-02 19:53:39 Share Опубліковано: 2013-06-02 19:53:39 Эта "штука" работает для sshd на всех системах по дефолту, ее специально включать не надо, ее можно только специально отключить. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2013-06-02 19:57:41 Share Опубліковано: 2013-06-02 19:57:41 Лучше начните с основ - белых списков, tcp wrappers в sshd ведь на всех системах включен по дефолту. Открываете /etc/hosts.allow и пишите туда только свои айпишники, например: sshd : 1.1.1.1 1.1.1.2 : allow sshd : 2.2.2. : allow sshd : ALL : deny Нехорошо так делать, правилами хорошего тона говорится что все блокировки должны быть в фаерволе. Зачем выдумывать сущности? Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-02 20:09:13 Share Опубліковано: 2013-06-02 20:09:13 (відредаговано) Кайот, что-то у вас много правил каких-то непонятных. Нехорошо следовать каким-то правилам непонятно кем и зачем придуманным, хорошо - думать своей головой. Відредаговано 2013-06-02 20:09:30 ttttt Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2013-06-02 20:12:07 Share Опубліковано: 2013-06-02 20:12:07 Кайот, что-то у вас много правил каких-то непонятных. Нехорошо следовать каким-то правилам непонятно кем и зачем придуманным, хорошо - думать своей головой. Вот моя голова как раз эти правила и подсказывает. Иначе следующий админ проклянет вас, пока поймет с какого лешего ssh не конектится с нужных адресов. Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-02 20:21:42 Share Опубліковано: 2013-06-02 20:21:42 Ну если у вас один дистр какой-то на всех машинах, то еще терпимо ограничивать что-то файрволом. А когда это и линуксы и фря и где-то есть файрвол, а где-то нет и файрволы, как вы понимаете, разные, то какое вообще ограничение файрволом? Это будет ужас для админа. Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2013-06-03 05:06:36 Share Опубліковано: 2013-06-03 05:06:36 (відредаговано) Ну если у вас один дистр какой-то на всех машинах, то еще терпимо ограничивать что-то файрволом. А когда это и линуксы и фря и где-то есть файрвол, а где-то нет и файрволы, как вы понимаете, разные, то какое вообще ограничение файрволом? Это будет ужас для админа.Машины без файрвола вообще? Оригинально-с... И да, админа, разводящего зоопарк разных дистров и тем более разных осей без крайней на то нужды (а ее собссно и нет в большинстве случаев - бздя по большей части ставится исходя из привычки, а не реальной необходимости в каком-либо специфичном функционале) и так ждет ужас. Вернее, его преемника, который будет весь этот зоопарк причесывать и риводить к единообразному виду. Відредаговано 2013-06-03 05:06:59 NiTr0 Ссылка на сообщение Поделиться на других сайтах
AoW 17 Опубліковано: 2013-06-03 11:50:36 Share Опубліковано: 2013-06-03 11:50:36 а http://www.fail2ban.org/ кто-то юзал?... вопрос так..ради интереса -) Ссылка на сообщение Поделиться на других сайтах
Lambert 5 Опубліковано: 2013-06-03 12:19:35 Share Опубліковано: 2013-06-03 12:19:35 я юзал. Работает. Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-03 12:27:13 Share Опубліковано: 2013-06-03 12:27:13 Машины без файрвола вообще? Оригинально-с... Ну расскажите мне, зачем файрвол на машинах. Это админская чушь "по феншую" уже поднадоела, почему нельзя головой подумать? Вот если нет реальной надобности держать файрвол, зачем держать файрвол? И да, админа, разводящего зоопарк разных дистров Админов, вообще-то, никто спрашивать не будет по архитектуре, а то они понаделают.. Да и нет у меня админов, они давно заменены скриптами. Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-03 12:31:01 Share Опубліковано: 2013-06-03 12:31:01 а http://www.fail2ban.org/ кто-то юзал? Вот скажите, зачем оно вам? Оно нужно только хостингам с sshd открытым на весь мир, потому что они не могут использовать белые списки или отключить пароли. Ссылка на сообщение Поделиться на других сайтах
revomix 28 Опубліковано: 2013-06-03 13:19:14 Share Опубліковано: 2013-06-03 13:19:14 а http://www.fail2ban.org/ кто-то юзал?... вопрос так..ради интереса -) я использую, ставил для asteriska в день по 3-4 ip ловлю, ssh - раньше каждый день очень большой подбор был, поменял порт и ни кого + fail2ban(так сказать двойная защита на ссш) Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2013-06-03 13:44:42 Share Опубліковано: 2013-06-03 13:44:42 Машины без файрвола вообще? Оригинально-с... Ну расскажите мне, зачем файрвол на машинах. Это админская чушь "по феншую" уже поднадоела, почему нельзя головой подумать? Вот если нет реальной надобности держать файрвол, зачем держать файрвол? Например, где конкретно нет надобности разграничить доступ к сервисам на "доверенные"/"локалка"/"мир"? Вы мускул открытым портом в мир высовываете? На PPTP (юзаемый, к прмеру, для доступа извне в сеть) не ставите лимит на коннекты дабы не зафлудили его? На DNS не режете rate запросов, давая тем самым пищу ддосу через dns amplification? И накой при наличии файрвола в ядре городить костыли в юзерленде в виде tcpwrappers, который с одними сервисами работает, с другими - не работает, с третьими - работает только если собрать с нужным флагом? Что вами руководит - тяга к зоопаркам, как и в случае дистров? Админов, вообще-то, никто спрашивать не будет по архитектуре, а то они понаделают.. Да и нет у меня админов, они давно заменены скриптами. Единственный и незаменимый мегоодмин, привязанный 24 часа в сутки 7 дней в неделю к местонахождению сети (ибо если крякнется что-то - никто, кроме него, не осилит сеть поднять)? И да, судя по вашему зоопарку - вы таки и понаделали... Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-03 15:25:16 Share Опубліковано: 2013-06-03 15:25:16 Например, где конкретно нет надобности разграничить доступ к сервисам на "доверенные"/"локалка"/"мир"? Вы не подменяйте понятия, файрвол и ограничение доступа - разные вещи. Мне нужно разграничивать доступ, но мне не нужно это делать файрволом. Вы мускул открытым портом в мир высовываете? Мускула вообще нет. На DNS не режете rate запросов, давая тем самым пищу ддосу через dns amplification? Мда. Вы вообще понимаете, что такое dns amplification? Такие атаки возможны, только если ваш рекурсивный днс криво настроен, т.е. в мир открыт. Даже инициатива была выловить кривые днс, проверьте себя: http://openresolverproject.org/ И накой при наличии файрвола в ядре городить костыли в юзерленде в виде tcpwrappers, который с одними сервисами работает, с другими - не работает, с третьими - работает только если собрать с нужным флагом? Это не аргумент, это ваша религия. Я могу точно также спросить, и накой пользоваться файрволом в ядре, который в каждом ядре разный, а где-то вообще нет, если можно для sshd пользоваться tcp wrappers? А для чего-то другого мне и не нужно. Единственный и незаменимый мегоодмин Да нету админа вообще, никакого. И да, судя по вашему зоопарку - вы таки и понаделали... Ха, зоопарк. Зоопарк - это традиционный подход, который вы проповедуете: админы, пакеты, ручками деплоить на каждой машине из терминала, каждая машина имеет разное предназанчение и т.д. Как только у вас будет много машин - окажется, что нихера такой подход не работает и добавление админов ничего не решит, единственный способ все это держать - только автоматизировать, а админы обычно не в состоянии это делать. Вот и нет админов. И деплоить софт раз в пару дней занимает ну максимум пол часа. Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2013-06-03 16:19:03 Share Опубліковано: 2013-06-03 16:19:03 ttttt, on 03 Июн 2013 - 18:22, said: Вы не подменяйте понятия, файрвол и ограничение доступа - разные вещи. Мне нужно разграничивать доступ, но мне не нужно это делать файрволом. Чего-чего? И чо, buffer overflow exploit'ы без файрвола зарежете? Ах да, труЪ админы до таких мелочей не опускаются, у них весь софт по дефолту - без уязвимостей, и доступ к серверу только брутом ssh можно получить... ttttt, on 03 Июн 2013 - 18:22, said: Мускула вообще нет. И других серверов БД тоже? ttttt, on 03 Июн 2013 - 18:22, said: Мда. Вы вообще понимаете, что такое dns amplification? Такие атаки возможны, только если ваш рекурсивный днс криво настроен, т.е. в мир открыт. Даже инициатива была выловить кривые днс, проверьте себя: http://openresolverproject.org/ Открою огромный секрет: dns amplification подвержен любой днс сервер, открытый в мир. А закрыть сервер в мир прову, у которого свое доменное имя - бред редкостный... А вот ограничить флуд, лимитировав кол-во пакетов в секунду - легко. ttttt, on 03 Июн 2013 - 18:22, said: Это не аргумент, это ваша религия. Я могу точно также спросить, и накой пользоваться файрволом в ядре, который в каждом ядре разный, а где-то вообще нет, если можно для sshd пользоваться tcp wrappers? А для чего-то другого мне и не нужно. А нехрен зоопарк осей разводить, чтобы потом в ядрах путаться. Бздя, по большому счету, юзается только из религиозных соображений. Ибо в стагнации уже хрензнает сколько лет.И нехрен разводить зоопарк методов ограничения доступа, чтобы никто кроме вас не смог в этих кишках разобраться? ttttt, on 03 Июн 2013 - 18:22, said: Да нету админа вообще, никакого. Чо, и упавший сервер святым духом поднимается, и софт новый по мановению руки накатывается, и апдейты сами по себе ставятся? ttttt, on 03 Июн 2013 - 18:22, said: Ха, зоопарк. Зоопарк - это традиционный подход, который вы проповедуете: админы, пакеты, ручками деплоить на каждой машине из терминала, каждая машина имеет разное предназанчение и т.д. Как только у вас будет много машин - окажется, что нихера такой подход не работает и добавление админов ничего не решит, единственный способ все это держать - только автоматизировать, а админы обычно не в состоянии это делать. Вот и нет админов. И деплоить софт раз в пару дней занимает ну максимум пол часа. Кого-кого деплоить?Вы что, из сырцов все собираете? Помойка нравится - слаку ставьте, ощутите все прелести. Ну или генту, сравните ее обслуживание с обслуживанием того же дебиана/рхел по затратам времени, прослезитесь. Кстати, сколько времени при вашем подходе занимает апдейт библиотек на мажорные версии, из-за чего рассыпается половина системы? Или вы секьюрити патчи бэкпортируете, как мэйнтейнеры дебиана/редхэта? Или просто забиваете на апдейты? О рассыпании серверов из-за сменившейся структуры конфигов сервиса - помолчу. Ссылка на сообщение Поделиться на других сайтах
Melanxolik 63 Опубліковано: 2013-06-03 16:43:26 Share Опубліковано: 2013-06-03 16:43:26 только автоматизировать, а админы обычно не в состоянии это делать. Вот и нет админов Не тех нанимаете, те что умеют стоять гораздо дороже. Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-03 17:09:25 Share Опубліковано: 2013-06-03 17:09:25 (відредаговано) И чо, buffer overflow exploit'ы без файрвола зарежете?Какой-то детский лепет уже Вот допустим эксплоит в апаче, как вы зарежите его файрволом, например ipfw? Естественно, что апач должен продолжать отвечать на запросы. И других серверов БД тоже?Другие бд тоже не смотрям в мир, есть своего рода бд прокси, который раскладывает данные по шардам/серверам. Вот он смотрит в мир, но ему тоже не нужен файрвол для ограничения доступа.Открою огромный секрет: dns amplification подвержен любой днс сервер, открытый в мир. А закрыть сервер в мир прову, у которого свое доменное имя - бред редкостный... А вот ограничить флуд, лимитировав кол-во пакетов в секунду - легко.Открою вам еще больший секрет: для доменов нужен авторитативный сервер, а не рекурсивный. Авторитативный может смотреть в мир сколько влезет и в качестве амплификатора использоваться не будет.Чо, и упавший сервер святым духом поднимается, и софт новый по мановению руки накатывается, и апдейты сами по себе ставятся?Нет конечно. Вы что, из сырцов все собираете? Помойка нравится - слаку ставьте, ощутите все прелести. Ну или генту, сравните ее обслуживание с обслуживанием того же дебиана/рхел по затратам времени, прослезитесь. Кстати, сколько времени при вашем подходе занимает апдейт библиотек на мажорные версии, из-за чего рассыпается половина системы? Или вы секьюрити патчи бэкпортируете, как мэйнтейнеры дебиана/редхэта? Или просто забиваете на апдейты? О рассыпании серверов из-за сменившейся структуры конфигов сервиса - помолчу. Из сырцов почит все, да, кое-что статически кросс-компилится, тогда компилится на той машине, с которой деплоится. Апдейт библиотеки занимает очень мало времени, потому что все библиотеки собираются вместе с каждым сервисом изолированно от остальных. Конфиги генерируются, ничего руками не делается. Уже об этом говорил в прошлой теме.сравните ее обслуживание с обслуживанием того же дебиана/рхел по затратам времени, прослезитесьЧего сравнивать, было дело и с дебианом. Сейчас поддержка серверов вообще времени не отнимает, софт деплоится все равно чаще, раз в пару дней может, если в среднем. Відредаговано 2013-06-03 17:10:13 ttttt Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас