Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

Debian i dost

https://593930.wb34atkl.asia/viewtopic.php?t=12903

Strona 1 z 2

Debian i dostępny dla świata?

: 31 marca 2009, 09:11
autor: Maxman
Każda nowa instalacja z nowej dystrybucji zostaje przejęta.
Czasami potrzeba 2 dni czasami 20 żeby nowy Debian łączył się już ze światem bez mojej wiedzy. Instalacja jest standardowa bez xorg.

Nie jest to do zauważenia na pierwszy rzut oka, doszło do tego że jest połączenie ssh na porcie 22 z jednym konkretnym IP z Chin, a po zalogowaniu jako root wpisaniu komendy who nikogo nie pokazuje oprócz mnie. Mówię oczywiście o sytuacji kiedy jest brak iptables.

Moim zdaniem po instalacji, uruchomić iptables + zmienić port dla sshd + dziwne hasło dla roota lub usunąć możliwość bezpośredniego logowania się na jego konto.

Pozdrawiam.

: 31 marca 2009, 09:30
autor: Ister
Dziwne hasło dla roota to dla mnie absolutny wymóg. Nie wyobrażam sobie hasła, które można złamać pierwszym lepszym ,,łamaczem haseł''. Wręcz powiedziałbym, że takie właśnie hasło jest dziwne.
Iptables mocno wskazane.
Pilnować różnych łat.
Jak coś się złego dzieje - czytać logi.
Skanować sieć pod kątem podejrzanych połączeń i możliwych dziur - jak mi ktoś kiedyś powiedział ,,bądź pewien, że jeśli Ty tego nie robisz, ktoś inny robi to za Ciebie''.

Pozdrawiam.

: 31 marca 2009, 09:52
autor: lis6502
Przecież w ssh jest takie cudo jak hosts.deny, mamy fail2ban...

: 31 marca 2009, 10:10
autor: Ister
Tak, ale nic nie pomoże, jeśli hasło dla roota może zdobyć pierwszy lepszy dzieciak z dostępem do internetu...

: 31 marca 2009, 15:19
autor: zet120
Zatem w jaki sposób sprawdzić czy komputer został ,,przejęty''?
Pytam ponieważ IPtables używam od niedawna, a hasło roota... no cóż raczej proste.

: 31 marca 2009, 15:40
autor: Ister
Zacznij od zmiany hasła roota :-) A następnie sprawdź co masz w /var/log/auth.log

: 31 marca 2009, 16:18
autor: zet120
Jeżeli cała prawda zawarta jest w /var/log/auth.log to śpię spokojnie. ;-)
W moim pliku 99% treści to efekt działania CRON'a.

: 01 kwietnia 2009, 01:07
autor: zulowski
Dla mnie podstawa to właśnie zablokowanie możliwości bezpośredniego logowania na konto root przez ssh - polecam każdemu.

Kod: Zaznacz cały

nano /etc/ssh/sshd_config
Edytujemy linijkę:

Kod: Zaznacz cały

PermitRootLogin no
I problem rozwiązany.

: 01 kwietnia 2009, 10:17
autor: Ister
To jest chyba domyślne ustawienie i ja nie bardzo sobie wyobrażam, że można mieć inaczej. Ale słabe hasła użytkownika i roota to nadal prosta droga do utraty kontroli nad systemem.

: 01 kwietnia 2009, 23:07
autor: Akkon
zulowski pisze:/etc/ssh/sshd_config
Jesteś pewien, że to ten plik?
U mnie np. takowego nie ma jest za to

Kod: Zaznacz cały

/etc/ssh/ssh_config
i tam takiej linijki

Kod: Zaznacz cały

PermitRootLogin
nie widzę.
Strefa czasowa UTC+01:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl