Привет всем... Я тут недавно посмотрел свои логи на серваке, какойто хрень пытается получить пароль для рута простым способом перпебор. Подсоеденяется каждый раз с разных ИП, прогоняет около 50 паролей для рута и отключается... Правдо не брезгует и другими юзерами, благо юзеров у меня всего 5-7.
Лог лежит здесь... http://www.valgavg.edu.ee/secureЧем можете помошь?
>Привет всем... Я тут недавно посмотрел свои логи на серваке, какойто хрень
>пытается получить пароль для рута простым способом перпебор. Подсоеденяется каждый раз
>с разных ИП, прогоняет около 50 паролей для рута и отключается...
>Правдо не брезгует и другими юзерами, благо юзеров у меня всего
>5-7.
>Лог лежит здесь... http://www.valgavg.edu.ee/secure
>
>Чем можете помошь?
Это постоянно случается.
Не используй слабые пароли.
Если сильно боишься - зарежь возможность логиниться снаружи и спи спокойно.
Такаяже хрень, причем чем дальше - тем больше....Вроде как какой-то червяк такое творит, у меня по 10 IP за день "светятся"
1. Запретить ходить руту по ssh
2. разрешить ТОЛЬКО конкретного полдьзователя и с определенного диапазона IP-ов.
Дело в том, что я сам пользуюсь рутом и имено через ssh, правдо обычно из внутреней сети, крайне редко - с одного внешнего IP, но хочется иметь возможность и порулить с какого нить "левого" IP.
А можно сделать так, чтобы ИП блокировался на день если этого ИП нет в списке разрешеных, и например два раза пароль для рута был набран неправильно?Тогда переберать будет не по 50 паролей за раз, а только два!
Можно сделать так.
1. Создать юзверя vasyapupkin, засунуть его в группу wheel.
2. Запретить root'у логиниться по ssh.
3. Логинится по ssh под юзверем vasyapupkin, затем делать su root.
4. А пароль root'а пусть ломают дальше. ^_^Можно сделать и так.
1. Назначить руту пароль длиной символов так 8-9, из случайных маленьких букв, заглавных букв, цифр и знаков препинания.
2. Посчитать число комбинаций, (26+26+10+10)^9
3. Разделить на число паролей, проверяемых за день, пусть будет 500..600.
4. Перевести результат в годы и столетия.
5. Спать спокойно. ^_^
> Подсоеденяется каждый раз
>с разных ИП, прогоняет около 50 паролей для рута и отключается...
>Правдо не брезгует и другими юзерами, благо юзеров у меня всего
>5-7.У меня та же фигня, только лезут корейцы (по данным whois). Действительно, похоже на червяк.
А у меня судя по ripe.net из Москвы, испании, германии, нидерландов.. так что IP он скорее всего берет чужое :( И полoвины IP нет в списке ripe.netКстати, как из командной строки посмотреть, кому принадлежит IP?
>Кстати, как из командной строки посмотреть, кому принадлежит IP?whois <ip>
Это что, новый червяк какой-то? Или такое уже было раньше? Где бы про это почитать?
Кстати, про whois. Мой сервер отвечает
-bash: whois: command not found
>Кстати, про whois. Мой сервер отвечает
>-bash: whois: command not found
Так надо его поставить. Он есть в портах
>Так надо его поставить. Он есть в портах
Виктор, а как именно его поставить?! И в каких портах он есть? У меня Редхат 9. Как то я привык к rpm. Или я что то путаю?!
>>Так надо его поставить. Он есть в портах
>Виктор, а как именно его поставить?! И в каких портах он есть?
>У меня Редхат 9. Как то я привык к rpm. Или
>я что то путаю?!
Не знаю как в Редхате, но во FreeBSD оно есть в портах.
если не ошибаюсь \usr\ports\net\whois
Я тоже столкнулся с этой проблемой.
В итоге не парясь с su и т.п. я просто по фаиру заблокал 22 порт, но при этом не забыв разрешить вход с нескольких моих IP :)
Сделай так же и спи спокойно.
Хорошее решение, но повторяю, мне нужно иногда входить на сервак и с "левых" ИП...
Народ, а как вам такое решение: Переиминовать юзера root в юзера например lG23wer43, сделать нового пользователя root, и все ему запретить?! Ведь линукс опереирует при входе не иминами, а неким ID и ему всеравно какое имя у юзера с ID 500, что root, что lG23wer43 ??!
>Хорошее решение, но повторяю, мне нужно иногда входить на сервак и с
>"левых" ИП...
>Народ, а как вам такое решение: Переиминовать юзера root в юзера например
>lG23wer43, сделать нового пользователя root, и все ему запретить?! Ведь линукс
>опереирует при входе не иминами, а неким ID и ему всеравно
>какое имя у юзера с ID 500, что root, что lG23wer43
>??!Зачем такую ерунду делать?
Сказали же - запрети коннект для рута, разреши ТОЛЬКО для конкретного пользователя (необязательно с определённого IP) и работай. Нужна будет рутовая консоль дай команду su и готово. В чём проблема-то??
А ещё лучше настрой sudo и НЕ работай под рутом - чревато фатальным геморроем при нечаянной ошибке.
Если хочешь лишить рута прав - ставь LIDS на ядро.
>Зачем такую ерунду делать?
>Сказали же - запрети коннект для рута, разреши ТОЛЬКО для конкретного пользователя
>(необязательно с определённого IP) и работай. Нужна будет рутовая консоль дай
>команду su и готово. В чём проблема-то??
>А ещё лучше настрой sudo и НЕ работай под рутом - чревато
>фатальным геморроем при нечаянной ошибке.
>Если хочешь лишить рута прав - ставь LIDS на ядро.
Ок, убедил!
>>Так надо его поставить. Он есть в портах
>Виктор, а как именно его поставить?! И в каких портах он есть?
>У меня Редхат 9. Как то я привык к rpm. Или
>я что то путаю?!Утилитой host
$ host 202.227.184.84
84.184.227.202.in-addr.arpa is an alias for 84.80.184.227.202.in-addr.arpa.
84.80.184.227.202.in-addr.arpa domain name pointer hnd01.aspwb.com.
Еще очень полезная утилита - dig
При ее помощи много что можно нарыть
А пароль рута надо делать не 8-9 символов, а 15-20.
можно заблокировать фаерволом порт 22 на внешних интерфейсах
а открыть какоё-нить порт типа 60001 и с него натить или редиректить ну например на локалхост:22
кроме того - не надо забывать проназначение /etc/hosts.allow
можно аутентификацию в ssh по ключу настроить (если не ошибаюсь =) - а можно то почти однозначно иначе зачем оно нада)
>>Так надо его поставить. Он есть в портах
>Виктор, а как именно его поставить?! И в каких портах он есть?
>У меня Редхат 9. Как то я привык к rpm. Или
>я что то путаю?!Ищешь пакет whois-........rpm и ставишь :)
1) порт не 22
2) portknock
и все вышеперечисленное.
можно ведь в фаере ограничить круг своих ипарей.