Reklama
Nepřihlášený uživatel | Zaregistrovat se
 

Vítejte, v tomto klubu se debatuje o Linuxu a všem, co s ním souvisí. V dobách klidu a míru je dovoleno pokládat takové dotazy jako třeba: "Který textový editor je nejlepší?" nebo "Který WM je nejlepší?". Moderátor (to jako já) si nicméně vyhrazuje právo takové diskuze mazat, pokud se mu nebudou líbit (no jo, už je to tak, nic s tím nenaděláte).

hacker_ Ostatně soudím, že EU musí být zničena  Go
 
Vojtas Sbíráme chaluhy,hnědý a červený  sbíráme chaluhy,jsme z toho zmatený!
Jiny port je zaklad a i tak mi obcas f2b posle v dennim sumari ze neco bloknul.
 
hkmaly - Slava pomlcky -  .
Mam na jinem portu a nevidim problem.
Portknock mám na openvpn, kteremu stačí certifikát. Ještě uvazuju, že to prikryju TOTP stejně jako ssh
Fail2ban tohle malinko posouvá dále. Nastaví ipfilter při login failu
Příliš restriktivni, pokud funguješ přes různé sítě
Použil som minulý čas. Počas kovidária robím z domu, takže si vystačím bez prístupu z vonku a neriešim to.

Áno, boti na mňa chodili aj distribuovane. A fail2ban to ustál aj na tej haraburde čo nepotrebovala vodné chladenie. Logov som nemal na gigabajty.

Já mam ve firewallu
-A INPUT -m conntrack --ctstate NEW -m limit --limit 10/sec --limit-burst 100 -j SERVER
a v chainu SERVER, co chci povolit. Je to podobný, omezí to počet novejch konexí. Co pár minut se někdo dobejvá, ale uplně zaspamovaný logy nemam.
violetelephant グッバイ、ミスターティーポット 
ja vim o cem je port knocking, ale ty jsi psal, ze ti staci fail2ban, z toho usuzuju, ze knocking nepouzivas a mas ssh otevrene pro 0/0
Port knocking je o niečom inom. Človek zaklope pesničku na rôzne porty. A ak sa trafí, tak mu to otvorí /32.

Keby som si chcel otvoriť FW aby som sa dostal z práce domov, tak by som musel mať otvorené /13. Ani Geoblokácia by mi nepomohla, robím v korporátoch.

violetelephant グッバイ、ミスターティーポット 
no od te doby co jsou v kurzu botnety, ktere ti bezne klepaj dvere z 1000 ip kazdou minutu, tak fail2ban je fail ... zbytecne to zere systemove prostredky na skenovani logu, narustaj ti dost rychle firewall pravidla a o logach ani nemluvim.

tim nechci rict, ze reaktivni selfdefense nema smysl, jenom ze je lepsi zacinat s restriktivnimi pravidly a v pripade potreby je uvolnit a ten zbytek poresi reaktivni ochrana.

ale tak kdo chce kam.
Kedysi sa používalo aj port knocking na dočasné otvorenie FW z jednej IP. Ale ja som si dlhé roky vystačil s fail2ban.
violetelephant グッバイ、ミスターティーポット 
u ssh ci jinem remote access na verejny ip pomaha nemit to otevreny do celyho sveta, ale jen do siti, ze kterych se clovek pripojuje, coz jsou vetsinou nejaky A, A/2 nebo B rozsahy ISP, pripadne list statickych IP ... ale s listem je problem, pokud clovek pouziva mobilni internet. odfiltruje to vetsinu ruskych, indicky, cinskych a brazilskych botnetu a hned je tech hitu do logu mene nez 1/10 toho co predtim.
A to ě dobré, neznal jsem!
McCohy Please do not read this text 
U ssh na verejnym portu docela dost pomaha omezeni poctu prichozich konexi z jedny ip:

iptables -I INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Povoluje to max. 3 novy konexe z jedny IP adresy behem minuty. Jako ano, neni to vubec stoprocentni, navic to omezuje i uzivatele (pokud otviraji novy konexe moc rychle ;-))) a furt je treba mit nejakej automat na cteni logu, ale pomaha to.

IMHO správné řešení je VPN & ipfilter, ale jiný port neuškodí.
ano. fail2ban maka jako divej a zacinam premejslet, ze to dam na jiny port. Jenom v logach mam 500Mb
the_majkl  
Myslíš tím ssh otevřené do světa na veřejné adrese, nebo něco jiného?
Teda zjistuju, ze v dnesni dobe mit ssh s externi adresou je celkem pruda. btmp 74Mb. Authlog 35Mb. Pokud dnes nechate 2GB na /var partici, tak je to malo i na upgrade podelaneho debianu
 
Ono problem je, dokud neexistuje judikatura. Do te doby jsou jenom ocekavani, a pak riziko, ze to tak nemusi dopadnout.