Vlákno názorů k článku
Výzkumníci opět varují před stále nedostatečně zabezpečenými SSH servery od MaT - Doporučovat silná neslovníková hesla a ani se nezmínit...

Doporučovat silná neslovníková hesla a ani se nezmínit o možnosti přihlašování pomocí klíčů? No nic...

Jinak taky mě zaujal ten login Root. Já mám asi na všech linuxových strojích jen uživatele root, ale dát tam to velké písmeno (a Linux zdá se uživatelské účty bere case-sensitive) by možná mohl být zajímavý způsob, jak nějakým botům útoky trochu zkomplikovat (asi podobný, jako nechat ssh server poslouchat na jiném portu než 22). :-)

A podobně neúčinné. Zákaz přímého přihlášení na uživatele root nebo přihlašování na roota jen pomocí klíčů má na rozdíl od změny v jednom bitu reálný dopad na bezpečnost.

Změna portu nic neřeší.
Ještě před covidem trvalo 3 dny než útočníci našli port a začali slovníkovy útok.

Dnes to bude klidně v řádu hodin.
Můžete snadno ověřit.

27. 12. 2023, 16:32 editováno autorem komentáře

Potvrzuji pozorování, že mi boti zkouší i na různé vysoké porty. Ovšem řádově méně než na 22.

Já to potřebuju vyřešit kvůli SSH serverům na slabých linkách, kde je tohle prostě opruz. Asi budu muset udělat port knocking, nebo to dát za VPN a ne do světa.

SSH protokol měl být navržen tak, že když je přihlašování heslem zakázáno, vůbec neměla existovat možnost hesla zkoušet. (ale plně chápu, že když to před 20+ lety vymýšleli, tak je tohle nenapadlo)

Tak porad jde mit bud whitelistovanych par IP... a i kdyz je potreba to mit volne z celeho sveta, tak reseni typu fail2ban, co po par neuspesnych pokusech potizistu odstrihnou. A cast tech pokusu odstrihne treba i to, ze clovek necha povolene jen moderni algoritmy (jenom je potreba dat bacha, aby si clovek neriznul sve legitimni klienty, treba s Putty muzou byt problemy).

A je snad moznost zkouset hesla, kdyz je prihlasovani heslem/challenge response zakazano? Alespon bezny SSH klient si heslo ani nepta, logy ssh nebo pam neukazuji zkouseni hesla. Da se to snad nejak obejit?

To jste mě dostal a asi máte pravdu, z logů to vypadá, že se připojí bot, zkusí buď existujícího uživatele a spojení uzavře ( Disconnected from authenticating user root 43.156.238.32 port 33756 [preauth]), nebo je vykopnut s Disconnected from invalid user ftptest 43.156.43.102 port 40208 [preauth].

"Ovšem řádově méně než na 22."
Porty zkouší buď přímo z Ruska a nebo pronajatý server v Holandsku. Je to sice na hraně zákona, ale jde o legitimní provoz.
Když najde otevřený port, tak během pár hodin začne útok z jiné IP. To už je porušení zákona, takže na to se používají napadené stroje jejiž majitelé nevědí co dělají.

Problem je, ze ta VPN nebo i ten port-knocking je dalsi kurvitko v ceste, ktere se zarucene podela presne v okamzik, kdy budes nutne potrebovat se na to SSHcko dostat.

To ze ti SSHcko neodpovida pak vubec neznamena, ze ti nebudou chodit pokusy o prihlaseni.

Tak to testni, SSHcko na nedefaultnim portu = maximalne 5 minut nez prijde prvni pokus o login. Zato kdyz ses v cizi siti, tak se budes mesic dohadovat, aby ti login na ten nedefaultni port povolili.