Комментарии 35
НЛО прилетело и опубликовало эту надпись здесь
Эм, копипаста в 64 строки ради одного предложения?
+3
[с нездоровым интересом]
а исходники покажите?
а исходники покажите?
+1
Admin1
Admin2
Уж лучше бы Коля и Петя. А то запутаться можно.
Admin2
Уж лучше бы Коля и Петя. А то запутаться можно.
+3
А я разрешаю рута с паролем. Из приведённого текста я так и не понял, почему логин с сертификатом кошерно, а с паролем нет.
+4
Видимо проблема была именно в
Admin1: там рутовый пароль стоял простой, и в ssh рут был разрешен !!!То есть проблема как всегда в простых паролях.
+4
Именно. Простота паролей — зло, разумеется. Но если бы там был простой пароль у vasya и разрешённое sudo, врят ли это сильно поменяло надёжность системы.
+2
Не каждый бот догадается брутить аккаунт vasya.
0
после адреса vasya@domain вполне можно попробовать на mx зайти с таким логином.
+1
Вы себе не представляете, как часто в secure попадаются переборы всех русских имен. И кстати, ftp пытаются брутить не менее часто, чем ssh.
0
Все-таки увеличивает вероятность подбора. Тем более — он там был простой :(
+1
Эффективнее всего «время перебора пароля» увеличивает fail2ban с более-менее приличным числом попыток (около 10) и приличным же временем блокировки (час+). Перебор паролей со скоростью 240 паролей в сутки меня не смущает…
Вообще, я не понимаю людей, которые боятся перебора паролей. Сколько я видел сканирующих ботов — все они делали словарные атаки, а не брутфорс.
Вообще, я не понимаю людей, которые боятся перебора паролей. Сколько я видел сканирующих ботов — все они делали словарные атаки, а не брутфорс.
+2
Я же и не спорю. Просто запрет root из ssh — очень простой шаг, который избавляет от лишних проблем!
-1
Да, кстати, переименование root в современных системах чревато, о чём в руководствах пишут в явном виде.
+3
в современно мире программеров-обезьянок есть сотни способов залить удалённый шел. один из примеров с которым столкнулся сам — phpMyAdmin. через него в систему тоже попал какой-то ирц бот и скрипт для рассылки фишинговых писем с веб-интерфейсом на французском языке.
0
в наше время детей с длинными руками это уже данность, предпочитаю при этом ещё и порт сменить
0
НЛО прилетело и опубликовало эту надпись здесь
у нас уже стандарт
* только по сертификату
* демон на внешних айпи висит на нестандартном порту (хорошая защита от тупых роботов :)
* никаких root, только sudo.
* только по сертификату
* демон на внешних айпи висит на нестандартном порту (хорошая защита от тупых роботов :)
* никаких root, только sudo.
+2
Только по ключику и нет проблемы.
0
У меня домашний сервак(с белым IP) регулярно брутфорсят отгадайте по какому логину?) Есть еще модная штука защиты от таких вот брутфорсов pam_abl называется, почитайте полезно иногда. В общем старинные истины глаголите, не удивили…
0
Насколько известно, если Debian SID не обновлен, то там уязвимость в OpenSSH, когда подбираеться ключ доступа и доступ к системы происходит без паролей… так что это баян :-)
0
Вообще интересно почему в дефолтной установке SSH параметр PermitRootLogin не выставлен в «no». Много ли людей под рутом логинится?
-1
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вы еще разрешаете SSH для root? Тогда мы идем к вам!