The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В OpenSSH добавлена встроенная защита от атак по подбору паролей

07.06.2024 10:11

В кодовую базу OpenSSH добавлена встроенная защита от автоматизированных атак по подбору паролей, в ходе которых боты пытаются угадать пароль пользователя, перебирая различные типовые комбинации. Для блокирования подобных атак в файл конфигурации sshd_config добавлен параметр PerSourcePenalties, позволяющий определить порог блокировки, срабатывающий при большом числе неудачных попыток соединений с одного IP-адреса. Новый механизм защиты войдёт в состав следующего выпуска OpenSSH и будет включён по умолчанию в OpenBSD 7.6.

При включении защиты процесс sshd начинает отслеживать статус завершения дочерних процессов, определяя ситуации когда не прошла аутентификация или когда процесс был аварийно завершён из-за сбоя. Большая интенсивность сбоев при аутентификации свидетельствует о попытках подбора паролей, а аварийное завершение может указывать на попытки эксплуатации уязвимостей в sshd.

Через параметр PerSourcePenalties задаётся минимальный порог аномальных событий, после превышения которого IP-адрес, для которого зафиксирована подозрительная активность, будет заблокирован. При помощи параметра PerSourceNetBlockSize дополнительно можно определить маску подсети для блокирования всей подсети, к которой принадлежит проблемный IP.

Для отключения срабатывания блокировки для отдельных подсетей предложен параметр PerSourcePenaltyExemptList, который может оказаться полезным в ситуациях, приводящих к ложным срабатываниям, например, когда к SSH-серверу осуществляются обращения из крупной сети, запросы разных пользователей из которой приходят с одинаковых IP из-за использования транслятора адресов или прокси.

  1. Главная ссылка к новости (https://undeadly.org/cgi?actio...)
  2. OpenNews: Проект OpenSSH разделяет sshd на несколько исполняемых файлов
  3. OpenNews: Релиз OpenSSH 9.7
  4. OpenNews: Terrapin - уязвимость в протоколе SSH, позволяющая снизить защиту соединения
  5. OpenNews: Mayhem - атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH
  6. OpenNews: Представлен SSH3, вариант протокола SSH, использующий HTTP/3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61331-openssh
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (103) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:17, 07/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Всё, можно удалять Fail2Ban?
     
     
  • 2.2, Аноним (2), 10:18, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –12 +/
    Функцию они добавили но ещё и недокументированные способы обхода добавили. Так что полагаться на один инструмент от одного разработчика небезопасно.
     
     
  • 3.3, Аноним (3), 10:20, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    ВЕРЮ
     
  • 3.22, анон (?), 12:02, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >ещё и недокументированные способы обхода добавили

    Очень хочеться увидеть ссылки на дифы исходного кода, подтверждающего твоё утверждение

     
     
  • 4.45, Аноним (2), 15:29, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Ахаха, а мошенники, которые тебе по телефону звонят тоже должны тебе доказывать что они мошенники? А ты смешной.
     
     
  • 5.86, JackONeill (?), 12:39, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А че мошенники делятся своими "скриптами" со всем миром?))))
     
  • 3.98, Аноним (-), 19:52, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Функцию они добавили но ещё и недокументированные способы обхода добавили.
    > Так что полагаться на один инструмент от одного разработчика небезопасно.

    И вы конечно покажете комит где это все сделано?

     
  • 2.12, нах. (?), 11:04, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    его и ставить было незачем. А вот фришный blacklistd по прежнему гораздо нужнее этого уродца (где, дайте угадаю, забыли предусмотреть возможность быстро посмотреть что попало в этот список и поменять если вдруг ошибочка вышла)

     
     
  • 3.28, Аноним (28), 12:55, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    В fail2ban есть команды вывода заблокированных ip и команда удаления конкретных ip из бана. Не осилили.
     
     
  • 4.30, нах. (?), 13:13, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В fail2ban-то есть, хотя он сам-то соединений не принимает и можно смотреть сразу в том месте, где на самом деле блокируется, а вот в новом-улучшенном ssh - как думаешь?

    c fail2ban проблема в другом - то, откуда он берет информацию. Во-первых поздно, во-вторых криво. blacklistd был устроен иначе и там все изначально правильно сделано - но, увы, требует вменяемых разработчиков а где ж их взять.

     
     
  • 5.34, Аноним (28), 13:24, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Переобулся на лету? Сначала одно критикуешь, потом другое...
    > Во-первых поздно

    Если посмотреть лог, то там реагирование в считанные миллисекунды.
    > во-вторых криво

    Что кривого в чтении логов? Помимо файловых логов, fail2ban может читать инфу от systemd.

     
     
  • 6.39, Аноним (39), 13:46, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Если посмотреть лог, то там реагирование в считанные миллисекунды
    >Помимо файловых логов, fail2ban может читать инфу от systemd

    Подскажи, плз, fail2ban непрерывно в реалтайме анализирует логи, или по крону каждую миллисекунду?

     
     
  • 7.42, Аноним (28), 14:11, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В реальном времени. Fail2ban - это демон.
     
  • 5.43, Ананим.orig (?), 14:35, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чушь - читай 2-й абзац до просветления.

    Второе
    >где на самом деле блокируется,

    Фаервол - это и есть самое правильное место для блокировки

     
  • 2.70, Аноним (70), 20:08, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если только для SSH. А так он еще много чего делать может.
     
  • 2.100, Ilya Indigo (ok), 11:12, 10/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    sshguard можно точно удалять.
     

  • 1.5, Аноним (5), 10:22, 07/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Наконец-то догадались. Даже распоследний похапе-разработчик догадывается добавить в самописную гостевуху макс. число попыток залогиниться с айпишника.
     
     
  • 2.26, нах. (?), 12:26, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Наконец-то догадались. Даже распоследний похапе-разработчик догадывается добавить в
    > самописную гостевуху макс. число попыток залогиниться с айпишника.

    А потом окажется что это ты и был, не заметив сперва что включена русская раскладка, "блин, да какого не пускает-то?" а потом дважды не дожал/не вовремя отпустил шифт на раздолбаной офисной клавиатуре - и теперь можешь в панике бегать искать другой айпишник чтоб хоть как-то исправить ситуацию.

    Гостевухе последнего пехеперазработчика понятно пофиг, там кроме спама отродясь никто ничего и не писал. Насчет твоего подкроватного сервера уже могут быть варианты.

     
     
  • 3.51, Аноним (51), 15:59, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То есть варианта подождать 10 минут и залогиниться у тебя в башке нет?
     
     
  • 4.64, голос из леса (?), 18:52, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно на упавшем платежном сервисе, когда компания теряет по К платежей в секунду. И за задержку в 10 минут башку анонима просто оторвут.

    Хотя сейчас в таких местах наверно не ставят OpenSS.

     
     
  • 5.75, scriptkiddis (?), 23:06, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А что ставят?
     
     
  • 6.93, нах. (?), 15:33, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А что ставят?

    я тоже интересуюсь?

     
     
  • 7.99, Аноним (-), 05:48, 09/06/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.82, mumu (ok), 06:16, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    там ключи используются и двуфакторка, как и во всех приличных местах. Вход по паролю - это только на домашний роутер или тестовую лабу максимум.
     
     
  • 6.84, tty0 (?), 09:40, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз по паролю -- это локальный периметр. Все остальное - доступ по ключу
     
     
  • 7.92, нах. (?), 15:32, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как раз по паролю -- это локальный периметр. Все остальное - доступ
    > по ключу

    и если ключи утекли - пиши три конверта, да?

     

  • 1.6, Аноним (2), 10:22, 07/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –24 +/
    Опенссш давно отверстие в безопасности. Светить им в открытом виде в интернете давно моветон. Только приватные сети спасут отцов российского интернета.
     
     
  • 2.8, Аноним (8), 10:32, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да неужели, а что же безопаснее? уж не rdp ли
     
     
  • 3.15, нах. (?), 11:09, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –8 +/
    конечно rdp Уязвимостей в реальном мире а не в лаборатории позволявших массово ... большой текст свёрнут, показать
     
     
  • 4.31, нах. (?), 13:14, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну зачем вы удалили ответ с рекламой шитлаба, пусть глупость каждого будет видна же...

     
     
  • 5.33, анон (?), 13:23, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ну зачем вы удалили ответ с рекламой шитлаба, пусть глупость каждого будет
    > видна же...

    Действительно. Что .пох, что.нах, два местных иксперда


    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows

     
     
  • 6.115, Аноним (115), 04:06, 15/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А это не один и тот же персонаж? Я в них путаюсь.
     
  • 4.37, Аноним (37), 13:38, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков

    тебе мало tmux\screen?
    зачем ты хочешь напрямую подключать отвалившуюся сессию к рабочей?
    история с ситибанком тебя ничему не научила?

     
     
  • 5.40, анон (?), 14:01, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков
    > тебе мало tmux\screen?
    > зачем ты хочешь напрямую подключать отвалившуюся сессию к рабочей?
    > история с ситибанком тебя ничему не научила?

    Этот и не умел ничего. Ну кроме как в словесный понос.

     
  • 5.57, нах. (?), 18:25, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    зачем мне это г-нецо Изначально вообще для другого придуманное, когда компьютер... большой текст свёрнут, показать
     
     
  • 6.66, User (??), 19:01, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков
    >> тебе мало tmux\screen?
    > зачем мне это г-нецо? Изначально вообще для другого придуманное, когда компьютеры были
    > большие а терминал был один. Почему в винде мне не нужно
    > с переподвыподвертом запускать еще одну программу чтобы в ней запустить программу
    > которую мне может быть (а может быть нет) понадобится не потерять
    > при обрыве соединения или увидеть из командировки что она там показывает,
    > а у вас девятнадцатый век все никак не перейдет в двадцатый?

    Ну, затем, что иногда таки надо "ехать" - и пофиг на цвет-и-форму шашечек, не?

     
     
  • 7.67, нах. (?), 19:26, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну я вот уже запустил неожиданно (или ожидаемо но второпях не сообразил что надо б соломки подложить) долгоиграющую или опасную задачу без тмукси - и вот как он ТЕПЕРЬ мне поможет доехать? Вот то и оно. Сиди и молись чтоб не отвалилось.

    И так у нас все, и с годами становится только хуже (привет замене хреново но работавших иксов на невменозный вафлянд).

    Поэтому когда надо ехать - я сперва проверяю, нельзя ли на вендепоганой. И чаще всего оказывается что в общем-то и можно.

     
     
  • 8.76, Аноним (76), 23:10, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Проблемы ручных админов не перестают удивлять То интернет отвалится, то бэкапы ... текст свёрнут, показать
     
     
  • 9.78, нах. (?), 00:33, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    главное - не умеют, чайники, путешествовать во времени Чтоб значить отправить к... текст свёрнут, показать
     
     
  • 10.94, Аноним (76), 16:37, 08/06/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 11.96, нах. (?), 16:42, 08/06/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 9.80, Аноним (80), 05:48, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В гугл кстати можно сходить в таком случае https superuser com questions 62343... текст свёрнут, показать
     
     
  • 10.87, нах. (?), 12:51, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    угу, и десятки сообщений о том как этот новый костыль нифига не работает и все л... текст свёрнут, показать
     
  • 8.85, Аноним (85), 12:06, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Z disown screen reptyr Да, сложно ... текст свёрнут, показать
     
     
  • 9.88, нах. (?), 12:52, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    disown Command not found х-й знает что это за новое г-но и зачем оно ненужно ... текст свёрнут, показать
     
     
  • 10.95, Аноним (76), 16:38, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну рассмешил, шельмец ... текст свёрнут, показать
     
  • 4.52, Аноним (51), 16:01, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То есть когда винду ломали на моей памяти раз 8 если она RDP в интернет светит - и это были разные уязвимости - мне приснилось? Да вы элитный врун!
     
     
  • 5.60, User (??), 18:38, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > То есть когда винду ломали на моей памяти раз 8 если она
    > RDP в интернет светит - и это были разные уязвимости -
    > мне приснилось? Да вы элитный врун!

    "Уязвимостей в реальном мире а не в лаборатории позволявших массово залогиниться в обход аутентификации ts gateway (так, а не голой оппой принято в сетях чуть посерьезнее подкроватных) пока не видали."(С)
    Поздравляю тебя, Шарик - ты:
    а) Как раз один из тех, кто сий подвиг духа совершил
    б) Читать тора-дицьённа не умеешь и аггришься на ключевые слова

    P.S. Безотносительно корректности исходного поста, да.

     
     
  • 6.68, Аноним (70), 20:01, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно. Вот, только на моей памяти. https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/wi
     
     
  • 7.69, User (??), 20:08, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да ладно. Вот, только на моей памяти. https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/wi

    Охтыж. "Функциональная неграмотность" как болезнь современных IT'шников - "слова" при чтении вроде как понимают, а "смысл сколько-нибудь связного текста" - уже нет, чтение-и-реакция "по ключевым словам". Вот это:
    "P.S. Безотносительно корректности исходного поста, да."(С)
    оно про что и для кого?

     
     
  • 8.71, Аноним (70), 21:47, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это связанный текст Вы юридический или философский заканчивали Ахахах Ну, теп... большой текст свёрнут, показать
     
     
  • 9.72, User (??), 21:56, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот для малограмотных восстанавливаю последовательность 1 Исходный пост - П... текст свёрнут, показать
     
     
  • 10.73, Аноним (70), 22:29, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Другое дело Вот теперь то понятно А то ответили, как за столом у Канта P S TS... текст свёрнут, показать
     
  • 10.110, а (?), 12:09, 11/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    пф, так и ссш никто не ломал, если она правильно закрыта за впн и вобще настроен... текст свёрнут, показать
     
  • 3.21, Аноним (21), 12:01, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    SSH внутри VPN.
     
  • 3.63, YetAnotherOnanym (ok), 18:41, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да неужели, а что же безопаснее?

    Некоторые вешают на нестандартный порт и банят за простукивание портов. Можно ещё в ипсек в транспорт моде завернуть, если параноя сильно припекает.

     
  • 2.11, Аноним (11), 10:54, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    'PasswordAuthentication no' и перебирай пароли хоть до второго пришествия, от xz это не спасёт, но от подобных проблем не спасёт и отсутствие openssh, вместо openssh может быть веб-сервер, да хоть само ядро, через TCP-стек
     
     
  • 3.16, Котофалк (?), 11:11, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > 'PasswordAuthentication no'

    (сарказм) Так это же с ключами надо работать.

    Спасибо GiHub-у за пропаганду но они задели разработчиков, а так-то количество неумеющих в ключи всё ещё велико.

     
     
  • 4.17, нах. (?), 11:22, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > (сарказм) Так это же с ключами надо работать.

    Которые от подбора паролей вообще никак не защищены, и не остается ни малейшего следа если вдруг они неожиданно оказались не только у тебя.

    Да, спасибо гитшлаку и его феноменально т-пым индусам за пропаганду очередного маразма.

    И отдельно за использование ключей не по назначению - тут еще автор putty привет им передает - в этом случае и тырить ничего не пришлось, все в гитшляпе уже удобно уложено. Причем уверен что и по сей день там миллионы активно используемых актуальных ключей с дырой.

     
     
  • 5.35, User (??), 13:25, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, у меня на этот счет ключ ПЛЮС пароль. А putty после появления wsl2\включения ssh в win10\server 2019 как бы и нинахрена уже, так-то.
     
     
  • 6.48, Аноним (2), 15:36, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А шапочку у тебя из какой марки фольги?
     
     
  • 7.49, User (??), 15:43, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И пароль - прикинь - не 123456! Параноик, как есть - параноик...
     
     
  • 8.50, Аноним (50), 15:56, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И от Сети отключен сервер и питание не подано Все отлично Да вот только твой ... текст свёрнут, показать
     
     
  • 9.53, User (??), 17:14, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хомяк-то Да он и мне не особо нужен, так-то - затем линукс-десктоп тм на ем ... текст свёрнут, показать
     
  • 5.101, Котофалк (?), 15:17, 10/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Которые от подбора паролей вообще никак не защищены

    Если ты про пароль на ключ - сначала ключ должен утечь. Что уже интересная задача. А потом вторая интересная задача - подобрать пароль. Если ты считаешь две "линии обороны" недостаточными, почему одна из них тебя устраивает? Где логика, поясни?

    > И отдельно за использование ключей не по назначению - тут еще автор putty

    Что такое путти и какое отношение он имеет к разговору?


     
     
  • 6.102, нах. (?), 16:25, 10/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если ты про пароль на ключ - сначала ключ должен утечь. Что уже интересная задача.

    автор путти смотрит на тебя... с прищуром.

    Причем прикол этой "интересной задачи" в том, что в отличие от подбора пароля - в логах у тебя ничего нету, а если и есть - то не так просто сопоставить то что есть с тем что на самом деле случилось.

    > А потом вторая интересная задача - подобрать пароль.

    а вот она совсем неинтересная - потому что подбирало бы оно твой пароль к учетке - были бы и таймауты, и даже правильный пароль не принимается с четвертой попытки без уточнения почему - рви сессию и заново начинай, и записи в логах. А тут - ничего. И подбирай хоть на миллионе кряк-серверов параллельно.

    > Что такое путти и какое отношение он имеет к разговору?

    а вот это, недорогой эксперт с опеннета, я оставлю тебе для самостоятельного изучения. Как именно можно, оказывается, внезапно прогадить ключи, которые даже и не покидали твоего подкроватного хоста.

    И нет, от подобных ошибок не застрахован и швятой опенссх от швятых дол...ов из опенбсдвортим.

     
     
  • 7.103, Котофалк (?), 17:29, 10/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если ты про пароль на ключ - сначала ключ должен утечь. Что уже интересная задача.
    > автор путти смотрит на тебя... с прищуром.

    Да пусть смотрит, меня не смущает.

    > Причем прикол этой "интересной задачи" в том, что в отличие от подбора пароля - в логах у тебя ничего нету

    Не очень ясно почему тебя интересуют логи подбора пароля, ну хочешь я тебе вышлю логи за пару лет, вдруг тебя это утешит. Ещё менее понятно, как ты умудрился столько написать и так и не ответить на вопрос. Давай я тебе переформулирую попроще, чтобы ты понял. Ещё раз:

    Почему утечка пароля (и в логах у тебя абсолютно валидный заход в момент утечки) лучше, чем утечка ключа (с момента утечки нужно ещё немного потрахаться с подбором). Спасибо.


    > И нет, от подобных ошибок не застрахован и швятой опенссх от швятых дол...ов из опенбсдвортим.

    А пароли конечно застрахованы.


     
     
  • 8.105, нах. (?), 17:56, 10/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    потому что утечка пароля - это из области очевидного-невероятного Даже получи... текст свёрнут, показать
     
     
  • 9.107, Котофалк (?), 20:08, 10/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    это в какой вселенной инфра на паролях это триллионы копий парольчиков в тексто... текст свёрнут, показать
     
     
  • 10.108, нах. (?), 20:50, 10/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    значит твой парольчик от волшебного ключика - тоже в текстовичке, прям рядом с к... текст свёрнут, показать
     
     
  • 11.116, Котофалк (?), 17:26, 01/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Надежды юношей питают да как угодно сравнивать утечку ключа нужно с утечкой па... текст свёрнут, показать
     
  • 3.47, Аноним (2), 15:36, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Кора дня, а представь что уязвимости пофиг что там у тебя написано. Тебе пришлют слишком большой пакетик выйдут за границы буфера например и всё. Делают на твоей машинке всё что хотят. Подумай об этом.
     
  • 2.13, Аноним (13), 11:04, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, ну да. Поэтому у меня тысячи серверов sshd в интернете светятся и что-то не вижу чтобы они стали частью ботнета?
     
     
  • 3.18, нах. (?), 11:23, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Спасибо, вот и дальше не видь. В принципе, все так делают.

     
  • 3.46, Аноним (2), 15:32, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ага нет антивируса нет вирусов. Твои тысячи серверов часть ботнета и ты никогда этого не узнаешь.
     
     
  • 4.55, _ (??), 17:38, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не все админы такие беспомощные, жалкие рукожопы :)
    Я знаю несколько которые если говорят что они не ботнет - то они готовы это доказать.
    А вот ты таких не знаешь...

    ЗЫЖ: Но ... справедливости ради у них ssh напрямую тоже в инет не светит. Включая клаудные инстансы. У всех - по разному, включая вариант концептуально делающий то же, что любый поху ts-gateway :) но для ssh.

    У меня ещё проще: нет VPNa - ... с Новым Годом!
    Публично доступные сервисы лежат на домаин.наме, остальное - только членам клуба. \topic

     
     
  • 5.56, User (??), 17:49, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Не все админы такие беспомощные, жалкие рукожопы :)
    > Я знаю несколько которые если говорят что они не ботнет - то
    > они готовы это доказать.
    > А вот ты таких не знаешь...
    > ЗЫЖ: Но ... справедливости ради у них ssh напрямую тоже в инет
    > не светит. Включая клаудные инстансы. У всех - по разному, включая
    > вариант концептуально делающий то же, что любый поху ts-gateway :) но
    > для ssh.
    > У меня ещё проще: нет VPNa - ... с Новым Годом!
    > Публично доступные сервисы лежат на домаин.наме, остальное - только членам клуба. \topic

    Да-да. Давеча вот с kernel.org говорили-и-доказывали.

     
     
  • 6.58, нах. (?), 18:27, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да-да. Давеча вот с kernel.org говорили-и-доказывали.

    и ведь правду доказали - не ботнет! В смысле - даже ЭТИ джо оказались настолько неуловимыми, что уже поломанные их серверы НАХРЕН просто никому не сдались.

     
     
  • 7.65, User (??), 18:54, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Да-да. Давеча вот с kernel.org говорили-и-доказывали.
    > и ведь правду доказали - не ботнет! В смысле - даже ЭТИ
    > джо оказались настолько неуловимыми, что уже поломанные их серверы НАХРЕН просто
    > никому не сдались.

    Ну в общем "да" - зато теперь фоннаты могут рассказывать: "А знаете, почему они нас не заботнетили? Да по тому, что мы банда! Банда! БАНДА!!!"(Ц)

     
  • 5.77, нах. (?), 00:27, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня ещё проще: нет VPNa - ... с Новым Годом!

    и если сдох или в этой оппе мира заблокирован впн - новый год можно начинать отмечать в любое время года?

     

  • 1.19, AS (??), 11:39, 07/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    да что-то опоздали они конкретно - сколь наблюдаю за логами ссх - уже давно перебор идет с разных подсетей даже.. не тоЧто адресов.. юзер тот-же.. f2b только спасает или новоМодный INET6 - его , понятно не сканят ещё пока... ну и чтото среднее - неСтандартный порт. иногда не везёт только с ним..
     
     
  • 2.29, Rev (ok), 13:05, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы логи не засирались лучше порт SSH поднимать повыше, делать что-то типа 12322.
     
     
  • 3.32, нах. (?), 13:17, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Чтобы логи не засирались лучше порт SSH поднимать повыше, делать что-то типа
    > 12322.

    да просто отключи логи, чего ты как маленький. А то будешь потом в три утра вспоминать с бодунища "12322 или 31222 ?"

    P.S. о том почему критичные сервисы не просто так принято запускать на портах ниже 1024 - в следующей серии нашего мультика для подготовительной группы детского садика.

     
     
  • 4.38, AS (??), 13:42, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а что будет тогда если мапить 2222 на 22?
     
     
  • 5.41, Perlovka (ok), 14:04, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У них в подготовительной группе это еще не проходили.
     
     
  • 6.83, Qq (?), 08:59, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ничего, но и эффект на уровне плацебо. Ну отвалятся самые тупые боты, толку-то?
     

  • 1.20, FSA (??), 11:52, 07/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно как это будет работать с IPv6.
     
     
  • 2.23, Аноним (21), 12:06, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Банить по этому "любимому" првайдерами /64.
     

  • 1.54, Аноним (54), 17:17, 07/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а OTP не лучшее ли решение?
     
     
  • 2.61, нах. (?), 18:39, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > а OTP не лучшее ли решение?

    сел телефон (или отжали в переулке) - и хрен на свой ценный локалхост попадешь. Так держать!

    А s/key ведь немодно, немолодежно и обновить его так чтоб хотя бы решить проблему с вездессущими камерами некому уже давно.

     
     
  • 3.81, Аноним (80), 05:52, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    OTP при особом желании можно хоть на бумажке столбиком посчитать, там всего лишь хеш от даты/времени и секрета.
     
     
  • 4.91, нах. (?), 15:27, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > OTP при особом желании можно хоть на бумажке столбиком посчитать, там всего
    > лишь хеш от даты/времени и секрета.

    а кто ж тебе секрет-то скажет? В этом-то вся и фишка. Если ты умеешь извлекать его из безумных qr-кодов - сразу так и скажи.

     
     
  • 5.97, Qq (?), 16:52, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чего там извлекать секрет? Там у стандартных totp/hotp простой формат, который глазами парсится из строки распознанной любой читалкой qr. А для особо упоротых - можно и сам qr глазами прочесть (я так не умею >.<‘)
     
  • 3.89, Админ интернета (?), 14:09, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    OTP генератор не обязательно на телефоне должен быть. Большинство десктопных менеджеров паролей могут генерировать одноразку.
     
     
  • 4.90, нах. (?), 15:26, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    там весь смысл сводится к х-ю. Если мы про otp в его современном виде, когда его зачем-то стали использовать как второй фактор.

    Кстати, меня опять обошли на повороте - новая копро....корпо?а, не правильно было политика требует установки на телефон какого-то нового троянца, шлющего какие-то ср-ные пуши, блжд! Вместо гуглесовместимого totp который я так удачно заменил браузерным плагином.

    К счастью пока есть шансы что низвлетит - оно уже все начальство зае...ло своими пушами среди ночи, которых никто не просил.

    А замены s/key пригодной для дивного нового мира нет и не будет, 100%

    Ну разьве что ты сам напиш...да ладно, кому я...

     
  • 2.104, Котофалк (?), 17:32, 10/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > а OTP не лучшее ли решение?

    Не всегда. Но если ты считаешь, что утеря приватной части ключа вероятна - есть токены.

     
     
  • 3.109, нах. (?), 23:55, 10/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    так ведь - нету. Ну то есть либо фигня позволяющая добыть либо закрытый ключ либо эквивалент, либо нечто вообще неработающее.

     

  • 1.59, Axel (??), 18:37, 07/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так, стоп, а раньше не было.
    У меня после нескольких попыток даже при вводе правильного пароля не пускало.
     
     
  • 2.62, нах. (?), 18:39, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так, стоп, а раньше не было.

    раньше можно было открыть новое соединение (на самом деле сразу два десятка) и радостно продолжать подбор.

     

  • 1.79, zog (??), 01:57, 08/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Шёл 2024 год...
     
  • 1.106, pavlinux (ok), 18:43, 10/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > срабатывающий при большом числе неудачных попыток соединений с одного IP-адреса.

    У меня 250 человек долбятся на сервер, часто неудачно, .... всë издос весь NAT банить?  

    Может они бы лучше реализовали Port Knocking  из коробки?

     
     
  • 2.113, Аноним (113), 11:47, 13/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На случайном порту или последовательности портов.
    Но можно и на пакетном фильтре самому наваять.
     
     
  • 3.114, pavlinux (ok), 14:42, 14/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > На случайном порту или последовательности портов.
    > Но можно и на пакетном фильтре самому наваять.

    https://www.opennet.ru/opennews/art.shtml?num=35968

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру