Czy Miałem "gości" ?

[dj_oko]

Błędy w oprogramowaniu, pozwalające przejać kontrolę nad systemem, są prawie zawsze szczegółowo opisywane, np przez stronę Secunia.

To, ile "odkryć" dokonano podczas lat od wydania FC1 - pięć lat! - przyprawia o zawroty głowy, naprawdę nietrudno jest zgwałcić taki system. Podejrzewam, że są jużnawet gotowe skryptu, albo nawet całe programy do tego celu.

Twoi gościezatem wcale nie musieli się wykazywać większą inwencją...

[Xeno]

Przyłączam sie do sugestii żeby dokonac gruntownej aktualizacji OS. Cóż czasem trzeba poświęcić dzień albo dwa na "prace porządkowe". A jaki priorytet temu nadasz to juz zależy od Ciebie.

 

Co do komunikatów, to sygnalizuja nieudane próby włamania, u mnie pojawiały się co parę tygodni.

Myślę, że tu skutecznym lekrstwem będzie popracowanie nad plikami hosts, hosts.allow i host.deny.

Tam dopuścić tylko połączenia do wystawianych usług i jeżeli nie sa publiczne to określić jakie ip lub domeny mają do nich dostęp.

 

Przy okazji zastanawiam sie czy w plikach hosts.* można użyć nazwy komputera (usługi DDNS). To dawałoby możliwość dopuszczenia konkretnej maszyny która ma dynamiczne IP.

 

[Arabski]

Jedną z najprostszych metod i zarazem dość skuteczną* jest przesunięcie portu na którym słucha sshd. Te "wejścia" to nic innego jak roboty. Chyba nie sądzicie, że ktoś tam siedzi z drugiej strony i nmapa puszcza ręcznie?

 

*oczywiście nie jedyną, i tym bardziej nie jedyną skuteczną.

[dj_oko]

A, no i jeszcze jedno. Poczta od roota to już trochę za późno.

Zaglądaj czasem do /var/log/auth.log i /var/log/auth.log.0.

Zobaczysz tam historię uwierzytelnień. Jak mój ssh chodził na 22, to miałem mnóstwo prób logowania. Teraz jest spokój. Natomiast szturmują mi FTP namiętnie - remote user: "Administrator"

[Arabski]

Hehe, normalka. Każdy jeden otwarty "service port" dzieli ten los. Nikomu się nie chce dokładnie skanować wszystkich portów, bo trwałoby to wieki.

[Adi1981]

1. Zmiana portu na inny niż domyślny

2. Ustawienie hosts.deny/allow (jeśli możliwe)

3. Skonfigurowanie usługi denyhosts (obowiązkowo !)

4. Stworzenie specjalnej grupy i pozwolenie logowania przez ssh tylko userom z tej grupy

5. Stworzenie usera będącego w grupie z pkt. 4 - z niego przełączać się przez "su" już na normalnych userów. (co prawda nie testowałem tego, ale można by spróbować takiego usera chrootować w minimalnym środowisku, tylko nie wiem czy dałoby się wtedy przełączyć na normalnego usera)

6. Umożliwienie logowania tylko za pomocą klucza z hasłem.

7. Wyłączenie możliwości bezpośredniego logowania się na roota (co prawda ten temat pokrywają punkty 4 i 5, ale ostrożności nigdy za wiele)

8. Iptables (zwłaszcza zainteresuj się modułem RECENT)

 

To tak na szybko co mi do głowy wpadło, ale powinno w zupełności wystarczyć do całkiem skutecznego zabezpieczenia sshd

[grzehajn]

A, no i jeszcze jedno. Poczta od roota to już trochę za późno.

Zaglądaj czasem do /var/log/auth.log i /var/log/auth.log.0.

Zobaczysz tam historię uwierzytelnień. Jak mój ssh chodził na 22, to miałem mnóstwo prób logowania. Teraz jest spokój. Natomiast szturmują mi FTP namiętnie - remote user: "Administrator"

 

 

Zainstalowałem FC10 w minimalnej konfiguracji:

- serwer WWW i chyba nic więcej.

- zaporę skonfigurowałem ascetycznie (http, https,ssh)

- skonfigurowałem kartę sieciową, ale komp nic nie widział. "Sieć niedostępna" - czy coś takiego,

- z doskoku (czasssss) coś tam kombinowałem,

- zobaczył Internet, z innego IP Putty twierdził,żo numer IP nie istnieje.

- doinstalowałem dziś openssh i... wreszcie zobaczyłem serwer przez Putty z innego komputera wchodząc przez inne IP ( na DSL mam 8 numerów IP)

 

- NIE MAM /var/log/auth.log ! Nie wiem dlaczego.

 

- popróbuję zmienić port 22 na jakiś numer 4-ro cyfrowy. ( Ale najpierw muszę poczytać jak to zrobić )

- pobrałem wszystkie możliwe aktualizacje.....

 

Dziękuję za wszystkie rady. Walczę dalej. Howk!

[Arabski]

- NIE MAM /var/log/auth.log ! Nie wiem dlaczego.

 

/etc/rsyslog.conf

 

popróbuję zmienić port 22 na jakiś numer 4-ro cyfrowy.

 

/etc/ssh/sshd_config

service sshd restart

[Adi1981]

- NIE MAM /var/log/auth.log ! Nie wiem dlaczego.

Bo teraz logowanie jest zapisywane do pliku /var/log/secure

[grzehajn]

Bo teraz logowanie jest zapisywane do pliku /var/log/secure

 

To najmniejszy problem ze wszystkich!!!

 

Zainstalowałem po raz wtóry F10. Pobrałem wszystkie aktualizacje. Nic tam jeszcze nie ma. Usługi: tylko ssh i www. Loguję się do serwera wyłącznie przez WinSCP lub Putty. Hasło mam długie i skomplikowane.

 

I bez przerwy ktoś mi sie szwęda po MOIM serwerze. Szlak mnie trafia. Nic nie mogę zrobić spokojnie, bo wydaje mi się,że jakiś idiota ( nie co do poziomu wiedzy informatycznej) się ze mną bawi.

 

No i nie rozumiem sensu wpisów typu:

 

Illegal users from:
   117.21.249.75: 6 times
   195.96.170.210: 132 times
   200.196.90.206 (206.90.196.200.static.impsat.net.br): 340 times
   203.231.27.211: 4 times


Received disconnect:
   11: Bye Bye : 557 Time(s)

**Unmatched Entries**
reverse mapping checking getaddrinfo for 206.90.196.200.static.impsat.net.br [200.196.90.206] failed - POSSIBLE BREAK-IN ATTEMPT! : 368 time(s)

 

Co oznaczają times'y? Minuty, jakieś inne ,tajemne jednostki czasu, godzinę w/g nieznanej mi skali?

nigdzie nie mogę tego znaleźć.

 

Do rzeczy:

 

- zrobię jeszcze raz instalację 9Jeśli będzie potrzeba to jeszce kilka razy)

 

- chciałbym zamknąć serwer na 100 % (!) i wchodzic do niego TYLKO z mojego IP (mam stałe w domu). Co zrobić iptables na deny all? I potem dopisać tylko swój IP?

- I co jeszcze?

 

-Potem chciałbym POWOLI uruchamiać dostęp dla użytkowników wybranych przeze mnie ,a nie dla jakis podejrzanych typków "illegalów".

 

- Próbowałem zmienic port dostępu . Nie wyszło , opanuję i to z czasem. NIE odpuszczę.

 

Czyli jak?

 

Pozdrawiam wszystkich, chyląc czoła przed Waszą wiedzą . :lammer:

grzehajn

[@WalDo]

Co oznaczają times'y?

Raczej nie pomogę co do calości problemu, ale "times" w tym przypadku oznacza "razy" np. 340 razy. Biorąc pod uwagę całość komunikatu odczytałbym m.in. nielegalni użytkownicy spod adresu 200.196.90.206 nawiedzili Cię 340 razy.

[Arabski]

I bez przerwy ktoś mi sie szwęda po MOIM serwerze

 

Nikt się nie szwęda, są to próby wejścia.

 

- zrobię jeszcze raz instalację 9Jeśli będzie potrzeba to jeszce kilka razy)

 

Po co?

 

- Próbowałem zmienic port dostępu . Nie wyszło , opanuję i to z czasem. NIE odpuszczę.

 

Czytałeś mój wcześniejszy post? Zmiana jednego numerka w pliku tekstowym i restart usługi Ci nie wyszedł?

 

http://return.dnsalias.net/wiki/index.php/..._Neostrady#sshd

[@perl]

pozwolę sobie się wtrącić i doradzić,

 

nie stawiajcie systemów serwerowych na Fedorze, za jakiś czas znowu staniesz przed problemem aktualizacji,

 

lepiej wybrać jakiś CentOS, który jest typowo serwerowy, posiada politykę aktualizacji - poszczególne pakiety utrzymywane są w wersjach, przejścia między wersjami są dobrze dokumentowane itp. zmniejsza to wszystko do minimum wystąpienie problemów z serwerem,

 

dodatkowo używając CentOSa można używać dobrze napisanych dokumentów Red Hata z cyklu "how to secure ..." (ssh, apache itp. itd.), ponadto forum CentOSa zawiera wiele profesjonalnych porad,

 

[grzehajn]

Nikt się nie szwęda, są to próby wejścia.

 

Uff. Wydawało mi się, że to odnotowane wejścia.

 

Po co? [reinstalacja-grzehajn]

 

Skoro ktoś wszedł (jak mi się zdawało) ,to swoje zrobił, nie zobaczę tego ( no bo się nie znam, na razie...). Więc najprościej, dopóki jest pusty komp, sformatować i postawić na nowo. Zawsze tak robiłem z zawirusowanymi kompami.

 

Czytałeś mój wcześniejszy post? Zmiana jednego numerka w pliku tekstowym i restart usługi Ci nie wyszedł?

 

http://return.dnsalias.net/wiki/index.php/..._Neostrady#sshd

 

Tak zmieniłem numerek na 2013, usunąłem # . czyli linijka brzmiała:

Port 2013

 

Zrobiłem service sshd restart i.... serwer jest niewidoczny w sieci. Oczywiście w Putty ustawiam logowanie do portu 2013. I nic.

 

Przezornie zrobiłem kopię sshd_config. I jutro (jak będę w firmie) go wymienię na "oryginalny". Nie lubię pracować na konsoli Fedory, bo jeszce nie zainstalowałem mojego ukochanego MC, którym posługiwałem się w czasach DOS 3.0 (tak!, no był to NC). W RH 5.0, był, w 6,0 był w 7,3 też- pamiętam(choć nie był w domyślnej instalacji).

Teraz Linux jest jakis taki okienkowy, a po latach juz nie mam tej sprawności w pracy konsolowej. Podstawowych komend nie pamiętam i muszę zaglądać do kompedium.... Czas swoje robi.

Próbowałem go (MC) zainstalować zdalnie w poprzedniej konfiguracji, ale się rozsypywał niemiłosiernie.

 

Walczę dalej. Dziękuję za cierpliwość.

 

Pozdrawiam

[exbros]

...

Tak zmieniłem numerek na 2013, usunąłem # . czyli linijka brzmiała:

Port 2013

 

Zrobiłem service sshd restart i.... serwer jest niewidoczny w sieci. Oczywiście w Putty ustawiam logowanie do portu 2013. I nic.

Firewall (iptables) najprawdopodobniej blokuje Ci polaczenia na tym porcie...