Mam kilku "przyjaciół" z Bułgarii, Anglii i wielu innych krajów, którzy próbują się ze mną - krokietowy

Fanatyk

w LINUX 2024-06-14T12:01:32+02:00

Mam kilku "przyjaciół" z Bułgarii, Anglii i wielu innych krajów, którzy próbują się ze mną skontaktować przez połączenie ze zdalnym serwerem przez ssh, które mam wystawione na świat.

Logowanie mam ustawione na klucz publiczny i oczywiście hasła są wyłączone. Też mam ograniczenie logowania na swojego użytkownika i jedynie z lokalnej sieci.

Logi mam zaspamowane takim czymś

cze 14 1159 SerwerWIFI sshd[3058]: Connection closed by invalid user chenpeixian 94.156.79.189 port 54236 [preauth]

cze 14 1158 SerwerWIFI sshd[3153]: Connection closed by authenticating user root 94.156.79.189 port 52212 [preauth]

Najłatwiej byłoby wyłączyć przekierowanie portów, ale nie ja zarządzam routerem więc musiałbym pisać o to do dostawcy, ale jak będę potrzebował dostępu ssh to włączą mi to z opóźnieniem nawet 1 dnia, więc odpuszczę to sobie.

Są jakieś sposoby na odbicie piłeczki i ukaranie za próby wbicia się na serwer?

Czy na pewno jestem bezpieczny?

#linux

Komentarze (10)

NiebieskiSzpadelNihilizmu 2024-06-14T12:05:12+02:00

Polityka default deny z jakichś dziwnych adresów?

Honeypot z blacklistą?

Whitelisty?

jimmy_gonzale 2024-06-14T12:11:56+02:00

Fail2ban

krokietowy 2024-06-14T12:38:42+02:00

@jimmy_gonzale @NiebieskiSzpadelNihilizmu

A czy właśnie włączenie logowania po kluczu nie rozwiązuje tego problemu?

Nie widzę zbytnio sensu używania innych programów, skoro w systemie mogę mieć to samo z minimalną konfiguracją.

No chyba że jestem w błędzie i mój obecny setup jest wrażliwy na atak

jimmy_gonzale 2024-06-14T13:38:00+02:00

@krokietowy nie no, masz rację. Fail2ban to kolejna warstwa. On Ci np. daje możliwość pisania reguł i blokowania po IP na ten przykład. Zapoznał bym się na Twoim miejscu. Na swoim tez, bo brakuje mi wiedzy by dać Ci definitywną radę.

dolitd 2024-06-14T12:13:09+02:00

@krokietowy Musisz koniecznie używać routera dostawcy? Nie zastanawiałeś się nad kupnem lub złożeniem porządnego routera, gdzie mógłbyś zainstalować np. OpnSense?

krokietowy 2024-06-14T12:35:49+02:00

@dolitd Pytałem się o to i okazało się że nie da rady, bo też oferują inne usługi i gdybym kiedyś chciał użyć innych(w co wątpię) to mają możliwość ich odblokowania przez router.

Mam w domu zakourzony router z OpenWRT, ale raczej nie widzę sensu jego używania

bendyz

★

2024-06-14T12:57:07+02:00

@krokietowy jq też trochę he z tym walczyłem. Na koniec po prostu zlikwidowałem wystawienie portu ssh na świat i w razie potrzeby wpinam się przez wireguarda do lokalnej sieci i dopiero po tym ssh.

NiebieskiSzpadelNihilizmu 2024-06-14T21:26:44+02:00

@krokietowy że się tak brzydko wyrażę- a chuja tam. To skomlenie jest za każdym razem, żeby tylko mogli odpałować uporczywego petenta. Mi prywatny dostawca internetu do domu powiedział, że mogę korzystać ze swojego gówno tplinka i nie ma problemu "tylko jeśli nie czuję się z tym niekomfortowo to czy byłaby możliwość dać login i hasło w razie jakby trzeba było robić troubleshooting żeby nie wysyłać specjalnie technika i nie kasować za dojazd" i zaraz dodał "ale jak tylko coś to nie ma problemu, to nie jest żaden przymus czy wymóg". A oni rzekomo na (pół?)zarządzanym routerze nie mają możliwości- pachnie ściemą i tyle. Natomiast ja bym zrobił inaczej bo tak to mógłbyś się z nim kopać do porzygu- weź ten router dostawcy ustaw na zwykłe przekazywanie wszystkiego, pełna rura, bridge, a za tym wepnij swój router i tam rób wszystko co potrzebujesz i chcesz.

koszotorobur 2024-06-14T13:08:02+02:00

@krokietowy - nie wiem co to za router i dostawca ale niektóre z nich można skonfigurować by służyły tylko jako most (bridge) i podpiąć wtedy własny router... no ale wtedy całe security spada na ten twój router, więc lepiej aby miał aktualny software.

Chińczycy skanują właściwie każdy adres IP i jak wykryją, że masz coś wystawione na świat to będą Cię bombardować - nie da się tego uniknąć

Jak się boisz to do tego routera od dostawcy podepnij ten router z OpenWRT, na nim wystaw SSH (wtedy będziesz musiał na routerze dostawcy ustawić port forwarding) i na Linuksie ustaw sobie port knocking: https://www.howtogeek.com/442733/how-to-use-port-knocking-on-linux-and-why-you-shouldnt/

mike-litoris 2024-06-14T16:31:23+02:00

@krokietowy Ja mam to rozwiązane tak że wszystkie routery którymi zarządzam są wpięte jedną nogą do mojego VPN (wireguard i openpvn), drugą do wireguarda którego hostuję na mikr.us (pozdro @Unknow )

W ten sposób jak machnę jakiś misconfig to zawsze mam alternatywną trasę odkręcenia missclicka.

A co to ma wspólnego z Tobą? Proste ;d. Możesz whitelistnąć IP mikrusa czy innego dowolnego VPSa i do siebie łączyć się tylko z tej jednej maszyny. Na hostingu będzie Ci prościej skonfigurować banowanie IP które walą po SSH. U siebie mam to rozwiązane tak że mam wystawiony jeszcze serwer www, niby nic nielkiego ale w logach odbija się ktoś kto wchodzi po konkretny zasób i kto próbuje się włamać. Tych włamujących zbieram fail2ban'em i karmię nimi mój główny router, efektywnie wycinając im możliwość jakiejkolwiek komunikacji z moimi adresami publicznymi.

Możliwości jest wiele, możesz też mieć np tunel między sobą a VPSem i zezwalać tylko na połączenia z wewnątrz tego tunelu, moderując po stronie VPSa kto może (a właściwie kto nie może) się do Ciebie podłączyć. Sky is the limit.

Zaloguj się aby komentować