Вы еще разрешаете SSH для root? Тогда мы идем к вам!

[cst]

Эм, копипаста в 64 строки ради одного предложения?

[lavi]

Ну, собственно я сначала предупредил :)

[unreal]

[с нездоровым интересом]
а исходники покажите?

[lavi]

У меня исходников нет :( Товарищ возможно поделится. Если поделится — сделаю отдельный пост, когда разберу их.

[Voenniy]

Admin1
Admin2

Уж лучше бы Коля и Петя. А то запутаться можно.

[lavi]

Изначально думал написать Admin0, Admin1. Упростил :)

[lavi]

Для вящего драматического эффекта :)

[amarao]

А я разрешаю рута с паролем. Из приведённого текста я так и не понял, почему логин с сертификатом кошерно, а с паролем нет.

[Imenem]

Видимо проблема была именно в

Admin1: там рутовый пароль стоял простой, и в ssh рут был разрешен !!!

То есть проблема как всегда в простых паролях.

[amarao]

Именно. Простота паролей — зло, разумеется. Но если бы там был простой пароль у vasya и разрешённое sudo, врят ли это сильно поменяло надёжность системы.

[kurokikaze]

Не каждый бот догадается брутить аккаунт vasya.

[amarao]

после адреса vasya@domain вполне можно попробовать на mx зайти с таким логином.

[kurokikaze]

Можно, но обычно такие пользователи достаточно сильно урезаны в правах.

[amarao]

Но среди них, с большой вероятностью, есть тот, кто может sudo.

[kurokikaze]

Да, вполне вероятно.

[bigdogsru]

Вы себе не представляете, как часто в secure попадаются переборы всех русских имен. И кстати, ftp пытаются брутить не менее часто, чем ssh.

[lavi]

Все-таки увеличивает вероятность подбора. Тем более — он там был простой :(

[amarao]

Эффективнее всего «время перебора пароля» увеличивает fail2ban с более-менее приличным числом попыток (около 10) и приличным же временем блокировки (час+). Перебор паролей со скоростью 240 паролей в сутки меня не смущает…

Вообще, я не понимаю людей, которые боятся перебора паролей. Сколько я видел сканирующих ботов — все они делали словарные атаки, а не брутфорс.

[lavi]

Я же и не спорю. Просто запрет root из ssh — очень простой шаг, который избавляет от лишних проблем!

[amarao]

Я так и не понял, от каких проблем это избавляет. От тупых qwerty? Нет, потому что если у пользователя qwerty, то отсутствие прямого рута его не спасёт.

При нормальном пароле ssh с рутом не доставляет проблем.

[amarao]

Да, кстати, переименование root в современных системах чревато, о чём в руководствах пишут в явном виде.

[kelevra]

в современно мире программеров-обезьянок есть сотни способов залить удалённый шел. один из примеров с которым столкнулся сам — phpMyAdmin. через него в систему тоже попал какой-то ирц бот и скрипт для рассылки фишинговых писем с веб-интерфейсом на французском языке.

[KorP]

в наше время детей с длинными руками это уже данность, предпочитаю при этом ещё и порт сменить

[amarao]

Каким образом вам угрожают дети с длинными руками? И почему они не могут сделать nmap на ваш хост и найти ваш заветный спрятанный порт?

[dovg]

у нас уже стандарт
* только по сертификату
* демон на внешних айпи висит на нестандартном порту (хорошая защита от тупых роботов :)
* никаких root, только sudo.

[xReaper]

Только по ключику и нет проблемы.

[d0z]

У меня домашний сервак(с белым IP) регулярно брутфорсят отгадайте по какому логину?) Есть еще модная штука защиты от таких вот брутфорсов pam_abl называется, почитайте полезно иногда. В общем старинные истины глаголите, не удивили…

[devosx]

Насколько известно, если Debian SID не обновлен, то там уязвимость в OpenSSH, когда подбираеться ключ доступа и доступ к системы происходит без паролей… так что это баян :-)

[ipdemon]

Вообще интересно почему в дефолтной установке SSH параметр PermitRootLogin не выставлен в «no». Много ли людей под рутом логинится?

[lavi]

Сначала думали — но потом стало понятно, что не оно!