Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В OpenSSH добавлена встроенная защита от атак по подбору паролей"	+/–
Сообщение от opennews (??), 07-Июн-24, 10:17
В кодовую базу OpenSSH добавлена встроенная защита от автоматизированных атак по подбору паролей, в ходе которых боты пытаются угадать пароль пользователя, перебирая различные типовые комбинации. Для блокирования подобных атак в файл конфигурации sshd_config добавлен параметр PerSourcePenalties, позволяющий определить порог блокировки, срабатывающий при большом числе неудачных попыток соединений с одного IP-адреса. Новый механизм защиты войдёт в состав следующего выпуска OpenSSH и будет включён по умолчанию в OpenBSD 7.6... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61331
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 07-Июн-24, 10:17	+13 +/–
Всё, можно удалять Fail2Ban?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #12, #70, #100

2. Сообщение от Аноним (2), 07-Июн-24, 10:18	–12 +/–
Функцию они добавили но ещё и недокументированные способы обхода добавили. Так что полагаться на один инструмент от одного разработчика небезопасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #22, #98

3. Сообщение от Аноним (3), 07-Июн-24, 10:20	+6 +/–
ВЕРЮ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (5), 07-Июн-24, 10:22	–3 +/–
Наконец-то догадались. Даже распоследний похапе-разработчик догадывается добавить в самописную гостевуху макс. число попыток залогиниться с айпишника.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

6. Сообщение от Аноним (2), 07-Июн-24, 10:22	–24 +/–
Опенссш давно отверстие в безопасности. Светить им в открытом виде в интернете давно моветон. Только приватные сети спасут отцов российского интернета.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #11, #13

8. Сообщение от Аноним (8), 07-Июн-24, 10:32	+4 +/–
Да неужели, а что же безопаснее? уж не rdp ли
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #15, #21, #63

11. Сообщение от Аноним (11), 07-Июн-24, 10:54	+7 +/–
'PasswordAuthentication no' и перебирай пароли хоть до второго пришествия, от xz это не спасёт, но от подобных проблем не спасёт и отсутствие openssh, вместо openssh может быть веб-сервер, да хоть само ядро, через TCP-стек
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #16, #47

12. Сообщение от нах. (?), 07-Июн-24, 11:04	–4 +/–
его и ставить было незачем. А вот фришный blacklistd по прежнему гораздо нужнее этого уродца (где, дайте угадаю, забыли предусмотреть возможность быстро посмотреть что попало в этот список и поменять если вдруг ошибочка вышла)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

13. Сообщение от Аноним (13), 07-Июн-24, 11:04	+/–
Ну да, ну да. Поэтому у меня тысячи серверов sshd в интернете светятся и что-то не вижу чтобы они стали частью ботнета?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #18, #46

15. Сообщение от нах. (?), 07-Июн-24, 11:09	–8 +/–
конечно rdp. Уязвимостей в реальном мире а не в лаборатории позволявших массово залогиниться в обход аутентификации ts gateway (так, а не голой оппой принято в сетях чуть посерьезнее подкроватных) пока не видали. А в вашем openssh уже минимум трижды любой желающий получал рута удаленно и без лишней возни. Причем первый раз феноменально - вообще ничего было не надо, сразу рут. Ну а про то что rdp еще и сделали для людей а не для мартышек и мальчиков с феноменальной памятью (ладно невозможность подключиться к существующему шеллу, этого в ваших юниксах бай дезайн невозм... стоп-стоп-стоп, в юниксах бай дезайн как раз было можно - но нет больше этих ваших юниксов, но невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков... даже в прошлом веке это был какой-то полный позор) я уж и не говорю. Ау, кстати, макое6ы - у вас тоже такое же позорище, да? Впрочем, зачем вам удаленный доступ к вашему эйру, действительно, он же вот, всегда рядом, к ноге прикован.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #31, #37, #52

16. Сообщение от Котофалк (?), 07-Июн-24, 11:11	+/–
> 'PasswordAuthentication no' (сарказм) Так это же с ключами надо работать. Спасибо GiHub-у за пропаганду но они задели разработчиков, а так-то количество неумеющих в ключи всё ещё велико.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #17

17. Сообщение от нах. (?), 07-Июн-24, 11:22	–3 +/–
> (сарказм) Так это же с ключами надо работать. Которые от подбора паролей вообще никак не защищены, и не остается ни малейшего следа если вдруг они неожиданно оказались не только у тебя. Да, спасибо гитшлаку и его феноменально т-пым индусам за пропаганду очередного маразма. И отдельно за использование ключей не по назначению - тут еще автор putty привет им передает - в этом случае и тырить ничего не пришлось, все в гитшляпе уже удобно уложено. Причем уверен что и по сей день там миллионы активно используемых актуальных ключей с дырой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #35, #101

18. Сообщение от нах. (?), 07-Июн-24, 11:23	–6 +/–
Спасибо, вот и дальше не видь. В принципе, все так делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от AS (??), 07-Июн-24, 11:39	+1 +/–
да что-то опоздали они конкретно - сколь наблюдаю за логами ссх - уже давно перебор идет с разных подсетей даже.. не тоЧто адресов.. юзер тот-же.. f2b только спасает или новоМодный INET6 - его , понятно не сканят ещё пока... ну и чтото среднее - неСтандартный порт. иногда не везёт только с ним..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

20. Сообщение от FSA (??), 07-Июн-24, 11:52	+/–
Интересно как это будет работать с IPv6.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

21. Сообщение от Аноним (21), 07-Июн-24, 12:01	+/–
SSH внутри VPN.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

22. Сообщение от анон (?), 07-Июн-24, 12:02	+5 +/–
>ещё и недокументированные способы обхода добавили Очень хочеться увидеть ссылки на дифы исходного кода, подтверждающего твоё утверждение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #45

23. Сообщение от Аноним (21), 07-Июн-24, 12:06	+/–
Банить по этому "любимому" првайдерами /64.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

26. Сообщение от нах. (?), 07-Июн-24, 12:26	+/–
> Наконец-то догадались. Даже распоследний похапе-разработчик догадывается добавить в > самописную гостевуху макс. число попыток залогиниться с айпишника. А потом окажется что это ты и был, не заметив сперва что включена русская раскладка, "блин, да какого не пускает-то?" а потом дважды не дожал/не вовремя отпустил шифт на раздолбаной офисной клавиатуре - и теперь можешь в панике бегать искать другой айпишник чтоб хоть как-то исправить ситуацию. Гостевухе последнего пехеперазработчика понятно пофиг, там кроме спама отродясь никто ничего и не писал. Насчет твоего подкроватного сервера уже могут быть варианты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #51

28. Сообщение от Аноним (28), 07-Июн-24, 12:55	+7 +/–
В fail2ban есть команды вывода заблокированных ip и команда удаления конкретных ip из бана. Не осилили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30

29. Сообщение от Rev (ok), 07-Июн-24, 13:05	+/–
Чтобы логи не засирались лучше порт SSH поднимать повыше, делать что-то типа 12322.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #32

30. Сообщение от нах. (?), 07-Июн-24, 13:13	–2 +/–
В fail2ban-то есть, хотя он сам-то соединений не принимает и можно смотреть сразу в том месте, где на самом деле блокируется, а вот в новом-улучшенном ssh - как думаешь? c fail2ban проблема в другом - то, откуда он берет информацию. Во-первых поздно, во-вторых криво. blacklistd был устроен иначе и там все изначально правильно сделано - но, увы, требует вменяемых разработчиков а где ж их взять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #34, #43

31. Сообщение от нах. (?), 07-Июн-24, 13:14	+/–
ну зачем вы удалили ответ с рекламой шитлаба, пусть глупость каждого будет видна же...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #33

32. Сообщение от нах. (?), 07-Июн-24, 13:17	–2 +/–
> Чтобы логи не засирались лучше порт SSH поднимать повыше, делать что-то типа > 12322. да просто отключи логи, чего ты как маленький. А то будешь потом в три утра вспоминать с бодунища "12322 или 31222 ?" P.S. о том почему критичные сервисы не просто так принято запускать на портах ниже 1024 - в следующей серии нашего мультика для подготовительной группы детского садика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #38

33. Сообщение от анон (?), 07-Июн-24, 13:23	+2 +/–
> ну зачем вы удалили ответ с рекламой шитлаба, пусть глупость каждого будет > видна же... Действительно. Что .пох, что.нах, два местных иксперда https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #115

34. Сообщение от Аноним (28), 07-Июн-24, 13:24	+/–
Переобулся на лету? Сначала одно критикуешь, потом другое... > Во-первых поздно Если посмотреть лог, то там реагирование в считанные миллисекунды. > во-вторых криво Что кривого в чтении логов? Помимо файловых логов, fail2ban может читать инфу от systemd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #39

35. Сообщение от User (??), 07-Июн-24, 13:25	+1 +/–
Ну, у меня на этот счет ключ ПЛЮС пароль. А putty после появления wsl2\включения ssh в win10\server 2019 как бы и нинахрена уже, так-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #48

37. Сообщение от Аноним (37), 07-Июн-24, 13:38	+4 +/–
>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков тебе мало tmux\screen? зачем ты хочешь напрямую подключать отвалившуюся сессию к рабочей? история с ситибанком тебя ничему не научила?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #40, #57

38. Сообщение от AS (??), 07-Июн-24, 13:42	+/–
а что будет тогда если мапить 2222 на 22?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #41

39. Сообщение от Аноним (39), 07-Июн-24, 13:46	+/–
>Если посмотреть лог, то там реагирование в считанные миллисекунды >Помимо файловых логов, fail2ban может читать инфу от systemd Подскажи, плз, fail2ban непрерывно в реалтайме анализирует логи, или по крону каждую миллисекунду?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #42

40. Сообщение от анон (?), 07-Июн-24, 14:01	+2 +/–
>>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков > тебе мало tmux\screen? > зачем ты хочешь напрямую подключать отвалившуюся сессию к рабочей? > история с ситибанком тебя ничему не научила? Этот и не умел ничего. Ну кроме как в словесный понос.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

41. Сообщение от Perlovka (ok), 07-Июн-24, 14:04	+3 +/–
У них в подготовительной группе это еще не проходили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #83

42. Сообщение от Аноним (28), 07-Июн-24, 14:11	+/–
В реальном времени. Fail2ban - это демон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

43. Сообщение от Ананим.orig (?), 07-Июн-24, 14:35	+/–
Чушь - читай 2-й абзац до просветления. Второе >где на самом деле блокируется, Фаервол - это и есть самое правильное место для блокировки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

45. Сообщение от Аноним (2), 07-Июн-24, 15:29	–8 +/–
Ахаха, а мошенники, которые тебе по телефону звонят тоже должны тебе доказывать что они мошенники? А ты смешной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #86

46. Сообщение от Аноним (2), 07-Июн-24, 15:32	+3 +/–
Ага нет антивируса нет вирусов. Твои тысячи серверов часть ботнета и ты никогда этого не узнаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #55

47. Сообщение от Аноним (2), 07-Июн-24, 15:36	+/–
Кора дня, а представь что уязвимости пофиг что там у тебя написано. Тебе пришлют слишком большой пакетик выйдут за границы буфера например и всё. Делают на твоей машинке всё что хотят. Подумай об этом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

48. Сообщение от Аноним (2), 07-Июн-24, 15:36	+1 +/–
А шапочку у тебя из какой марки фольги?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #49

49. Сообщение от User (??), 07-Июн-24, 15:43	+/–
И пароль - прикинь - не 123456! Параноик, как есть - параноик...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #50

50. Сообщение от Аноним (50), 07-Июн-24, 15:56	+1 +/–
И от Сети отключен сервер и питание не подано. Все отлично. Да вот только твой "хомяк" никому никогда никуда не тарахтел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #53

51. Сообщение от Аноним (51), 07-Июн-24, 15:59	+/–
То есть варианта подождать 10 минут и залогиниться у тебя в башке нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #64

52. Сообщение от Аноним (51), 07-Июн-24, 16:01	+/–
То есть когда винду ломали на моей памяти раз 8 если она RDP в интернет светит - и это были разные уязвимости - мне приснилось? Да вы элитный врун!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #60

53. Сообщение от User (??), 07-Июн-24, 17:14	+/–
> И от Сети отключен сервер и питание не подано. > Все отлично. Да вот только твой "хомяк" никому никогда никуда не тарахтел. Хомяк-то? Да он и мне не особо нужен, так-то - затем 'линукс-десктоп'(тм) на ем и держу. Но результаты деятельности "профессиональных непараноиков" каких-нибудь коксов всё равно внушаиить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

54. Сообщение от Аноним (54), 07-Июн-24, 17:17	+/–
а OTP не лучшее ли решение?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61, #104

55. Сообщение от _ (??), 07-Июн-24, 17:38	+/–
Не все админы такие беспомощные, жалкие рукожопы :) Я знаю несколько которые если говорят что они не ботнет - то они готовы это доказать. А вот ты таких не знаешь... ЗЫЖ: Но ... справедливости ради у них ssh напрямую тоже в инет не светит. Включая клаудные инстансы. У всех - по разному, включая вариант концептуально делающий то же, что любый поху ts-gateway :) но для ssh. У меня ещё проще: нет VPNa - ... с Новым Годом! Публично доступные сервисы лежат на домаин.наме, остальное - только членам клуба. \topic
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #56, #77

56. Сообщение от User (??), 07-Июн-24, 17:49	+/–
> Не все админы такие беспомощные, жалкие рукожопы :) > Я знаю несколько которые если говорят что они не ботнет - то > они готовы это доказать. > А вот ты таких не знаешь... > ЗЫЖ: Но ... справедливости ради у них ssh напрямую тоже в инет > не светит. Включая клаудные инстансы. У всех - по разному, включая > вариант концептуально делающий то же, что любый поху ts-gateway :) но > для ssh. > У меня ещё проще: нет VPNa - ... с Новым Годом! > Публично доступные сервисы лежат на домаин.наме, остальное - только членам клуба. \topic Да-да. Давеча вот с kernel.org говорили-и-доказывали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #58

57. Сообщение от нах. (?), 07-Июн-24, 18:25	–1 +/–
>>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков > тебе мало tmux\screen? зачем мне это г-нецо? Изначально вообще для другого придуманное, когда компьютеры были большие а терминал был один. Почему в винде мне не нужно с переподвыподвертом запускать еще одну программу чтобы в ней запустить программу которую мне может быть (а может быть нет) понадобится не потерять при обрыве соединения или увидеть из командировки что она там показывает, а у вас девятнадцатый век все никак не перейдет в двадцатый? > зачем ты хочешь напрямую подключать отвалившуюся сессию к рабочей? > история с ситибанком тебя ничему не научила? миллион историй с необходимостью переделывать уже сделанное потому что ой свет моргнул научил меня не пользоваться допотопными недотехнологиями где только возможно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #66

58. Сообщение от нах. (?), 07-Июн-24, 18:27	+/–
> Да-да. Давеча вот с kernel.org говорили-и-доказывали. и ведь правду доказали - не ботнет! В смысле - даже ЭТИ джо оказались настолько неуловимыми, что уже поломанные их серверы НАХРЕН просто никому не сдались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #65

59. Сообщение от Axel (??), 07-Июн-24, 18:37	+/–
Так, стоп, а раньше не было. У меня после нескольких попыток даже при вводе правильного пароля не пускало.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62

60. Сообщение от User (??), 07-Июн-24, 18:38	–1 +/–
> То есть когда винду ломали на моей памяти раз 8 если она > RDP в интернет светит - и это были разные уязвимости - > мне приснилось? Да вы элитный врун! "Уязвимостей в реальном мире а не в лаборатории позволявших массово залогиниться в обход аутентификации ts gateway (так, а не голой оппой принято в сетях чуть посерьезнее подкроватных) пока не видали."(С) Поздравляю тебя, Шарик - ты: а) Как раз один из тех, кто сий подвиг духа совершил б) Читать тора-дицьённа не умеешь и аггришься на ключевые слова P.S. Безотносительно корректности исходного поста, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #68

61. Сообщение от нах. (?), 07-Июн-24, 18:39	+/–
> а OTP не лучшее ли решение? сел телефон (или отжали в переулке) - и хрен на свой ценный локалхост попадешь. Так держать! А s/key ведь немодно, немолодежно и обновить его так чтоб хотя бы решить проблему с вездессущими камерами некому уже давно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #81, #89

62. Сообщение от нах. (?), 07-Июн-24, 18:39	+/–
> Так, стоп, а раньше не было. раньше можно было открыть новое соединение (на самом деле сразу два десятка) и радостно продолжать подбор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

63. Сообщение от YetAnotherOnanym (ok), 07-Июн-24, 18:41	+/–
> Да неужели, а что же безопаснее? Некоторые вешают на нестандартный порт и банят за простукивание портов. Можно ещё в ипсек в транспорт моде завернуть, если параноя сильно припекает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

64. Сообщение от голос из леса (?), 07-Июн-24, 18:52	+/–
Особенно на упавшем платежном сервисе, когда компания теряет по К платежей в секунду. И за задержку в 10 минут башку анонима просто оторвут. Хотя сейчас в таких местах наверно не ставят OpenSS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #75, #82

65. Сообщение от User (??), 07-Июн-24, 18:54	+1 +/–
>> Да-да. Давеча вот с kernel.org говорили-и-доказывали. > и ведь правду доказали - не ботнет! В смысле - даже ЭТИ > джо оказались настолько неуловимыми, что уже поломанные их серверы НАХРЕН просто > никому не сдались. Ну в общем "да" - зато теперь фоннаты могут рассказывать: "А знаете, почему они нас не заботнетили? Да по тому, что мы банда! Банда! БАНДА!!!"(Ц)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

66. Сообщение от User (??), 07-Июн-24, 19:01	+/–
>>>невозможность продолжить с того же места из-за того что банально потерялась пара пакетиков >> тебе мало tmux\screen? > зачем мне это г-нецо? Изначально вообще для другого придуманное, когда компьютеры были > большие а терминал был один. Почему в винде мне не нужно > с переподвыподвертом запускать еще одну программу чтобы в ней запустить программу > которую мне может быть (а может быть нет) понадобится не потерять > при обрыве соединения или увидеть из командировки что она там показывает, > а у вас девятнадцатый век все никак не перейдет в двадцатый? Ну, затем, что иногда таки надо "ехать" - и пофиг на цвет-и-форму шашечек, не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #67

67. Сообщение от нах. (?), 07-Июн-24, 19:26	+/–
ну я вот уже запустил неожиданно (или ожидаемо но второпях не сообразил что надо б соломки подложить) долгоиграющую или опасную задачу без тмукси - и вот как он ТЕПЕРЬ мне поможет доехать? Вот то и оно. Сиди и молись чтоб не отвалилось. И так у нас все, и с годами становится только хуже (привет замене хреново но работавших иксов на невменозный вафлянд). Поэтому когда надо ехать - я сперва проверяю, нельзя ли на вендепоганой. И чаще всего оказывается что в общем-то и можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #76, #85

68. Сообщение от Аноним (70), 07-Июн-24, 20:01	+/–
Да ладно. Вот, только на моей памяти. https://github.com/rapid7/metasploit-framework/blob/master/m...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #69

69. Сообщение от User (??), 07-Июн-24, 20:08	+/–
> Да ладно. Вот, только на моей памяти. https://github.com/rapid7/metasploit-framework/blob/master/m... Охтыж. "Функциональная неграмотность" как болезнь современных IT'шников - "слова" при чтении вроде как понимают, а "смысл сколько-нибудь связного текста" - уже нет, чтение-и-реакция "по ключевым словам". Вот это: "P.S. Безотносительно корректности исходного поста, да."(С) оно про что и для кого?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #71

70. Сообщение от Аноним (70), 07-Июн-24, 20:08	+1 +/–
Если только для SSH. А так он еще много чего делать может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

71. Сообщение от Аноним (70), 07-Июн-24, 21:47	+1 +/–
> "Уязвимостей в реальном мире а не в лаборатории позволявших массово залогиниться в обход аутентификации ts gateway (так, а не голой оппой принято в сетях чуть посерьезнее подкроватных) пока не видали."(С) > Поздравляю тебя, Шарик - ты: > а) Как раз один из тех, кто сий подвиг духа совершил > б) Читать тора-дицьённа не умеешь и аггришься на ключевые слова > > P.S. Безотносительно корректности исходного поста, да. Это связанный текст? Вы юридический или философский заканчивали? > как болезнь современных IT'шников - "слова" при чтении вроде как понимают, а "смысл сколько-нибудь связного текста" Ахахах) Ну, теперь я современных IT'шников понимаю) Только с Вашими высказываниями проблемы? > "P.S. Безотносительно корректности исходного поста, да."(С) оно про что и для кого? Хороший вопрос... Черт знает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #72

72. Сообщение от User (??), 07-Июн-24, 21:56	+1 +/–
Ну вот для малограмотных восстанавливаю последовательность: 1. Исходный пост - ПРАВИЛЬНО опубликованный через TS Gateway RDP не ломали. 2. Первый ответ - "Вот только на моей памяти опубликованный НЕ через TS Gateway RDP ломали 8 раз!" 3. Мой ответ - _безотносительно корректности исходного поста_ - читать №2 не умеет (RDP готовить скорее всего тоже) 4. И тут на мой №3 (А не №1) врываетесь Вы - "Да ломали этот TS Gateway, вот ссылка!" Так понятно, или кроме "прожевать" еще и "переварить" надо? Мне не трудно - я могу и с картиночками, привык уже...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #73, #110

73. Сообщение от Аноним (70), 07-Июн-24, 22:29	–1 +/–
Другое дело! Вот теперь то понятно) А то ответили, как за столом у Канта. P.S TS Gateway не использовал, как и RDP, впрочем. Хорошо, если работает. Обычно предпочитаю SSH или VPN с VNC.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

75. Сообщение от scriptkiddis (?), 07-Июн-24, 23:06	+/–
А что ставят?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #93

76. Сообщение от Аноним (76), 07-Июн-24, 23:10	+3 +/–
Проблемы ручных админов не перестают удивлять. То интернет отвалится, то бэкапы не сделали, то за скриптом некому посмотреть. Отправить скрипт в бэкграунд и отвязать от контролирующего терминала — и то не умеют. Ну что делать? Или в дворники, другого пути нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #78, #80

77. Сообщение от нах. (?), 08-Июн-24, 00:27	+/–
> У меня ещё проще: нет VPNa - ... с Новым Годом! и если сдох или в этой оппе мира заблокирован впн - новый год можно начинать отмечать в любое время года?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

78. Сообщение от нах. (?), 08-Июн-24, 00:33	–1 +/–
главное - не умеют, чайники, путешествовать во времени. Чтоб значить отправить кудатотам скрипт (ну конечно же - кроме скриптов тру админы ничего и не запускают) и от чего-то отвязать, за пять минут до того как свет уже моргнул. То ли дело неручные админы, чего им стоит-то просочиться в канализацию на десяток лье! Ты реально такой феноменально т-й и не понимаешь что эта проблема напрочь, абсолютно, вообще вот 100% отсутствует в нормально спроектированной системе? И твои триста способов костылепердолинга и удаления гланд через задницу ну вообще никому неинтересны, когда можно без них обойтись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #94

79. Сообщение от zog (??), 08-Июн-24, 01:57	+/–
Шёл 2024 год...
Ответить | Правка | Наверх | Cообщить модератору

80. Сообщение от Аноним (80), 08-Июн-24, 05:48	+/–
В гугл кстати можно сходить в таком случае https://superuser.com/questions/623432/transfer-current-comm...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #87

81. Сообщение от Аноним (80), 08-Июн-24, 05:52	+1 +/–
OTP при особом желании можно хоть на бумажке столбиком посчитать, там всего лишь хеш от даты/времени и секрета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #91

82. Сообщение от mumu (ok), 08-Июн-24, 06:16	+1 +/–
там ключи используются и двуфакторка, как и во всех приличных местах. Вход по паролю - это только на домашний роутер или тестовую лабу максимум.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #84

83. Сообщение от Qq (?), 08-Июн-24, 08:59	+2 +/–
Ничего, но и эффект на уровне плацебо. Ну отвалятся самые тупые боты, толку-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

84. Сообщение от tty0 (?), 08-Июн-24, 09:40	+/–
Как раз по паролю -- это локальный периметр. Все остальное - доступ по ключу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #92

85. Сообщение от Аноним (85), 08-Июн-24, 12:06	+/–
^Z disown screen reptyr Да, сложно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #88

86. Сообщение от JackONeill (?), 08-Июн-24, 12:39	–1 +/–
А че мошенники делятся своими "скриптами" со всем миром?))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

87. Сообщение от нах. (?), 08-Июн-24, 12:51	+/–
> В гугл кстати можно сходить в таком случае > https://superuser.com/questions/623432/transfer-current-comm... угу, и десятки сообщений о том как этот новый костыль нифига не работает и все ломает в комментариях. А, ну да, местные девляпсы дальше вопроса ведь не читают никогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

88. Сообщение от нах. (?), 08-Июн-24, 12:52	+/–
> ^Z > disown > screen > reptyr > Да, сложно! disown: Command not found. х-й знает что это за новое г-но и зачем оно ненужно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #95

89. Сообщение от Админ интернета (?), 08-Июн-24, 14:09	+/–
OTP генератор не обязательно на телефоне должен быть. Большинство десктопных менеджеров паролей могут генерировать одноразку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #90

90. Сообщение от нах. (?), 08-Июн-24, 15:26	+/–
там весь смысл сводится к х-ю. Если мы про otp в его современном виде, когда его зачем-то стали использовать как второй фактор. Кстати, меня опять обошли на повороте - новая копро....корпо?а, не правильно было политика требует установки на телефон какого-то нового троянца, шлющего какие-то ср-ные пуши, блжд! Вместо гуглесовместимого totp который я так удачно заменил браузерным плагином. К счастью пока есть шансы что низвлетит - оно уже все начальство зае...ло своими пушами среди ночи, которых никто не просил. А замены s/key пригодной для дивного нового мира нет и не будет, 100% Ну разьве что ты сам напиш...да ладно, кому я...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

91. Сообщение от нах. (?), 08-Июн-24, 15:27	+/–
> OTP при особом желании можно хоть на бумажке столбиком посчитать, там всего > лишь хеш от даты/времени и секрета. а кто ж тебе секрет-то скажет? В этом-то вся и фишка. Если ты умеешь извлекать его из безумных qr-кодов - сразу так и скажи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #97

92. Сообщение от нах. (?), 08-Июн-24, 15:32	–1 +/–
> Как раз по паролю -- это локальный периметр. Все остальное - доступ > по ключу и если ключи утекли - пиши три конверта, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

93. Сообщение от нах. (?), 08-Июн-24, 15:33	+/–
> А что ставят? я тоже интересуюсь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #99

94. Сообщение от Аноним (76), 08-Июн-24, 16:37    Скрыто ботом-модератором	+/–
Не знает про job сontrol в баше, но пытается кого-то учить, да ещё с таким апломбом. Эталонный кексперт опеннета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #96

95. Сообщение от Аноним (76), 08-Июн-24, 16:38	+/–
> disown > новое Ну рассмешил, шельмец!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

96. Сообщение от нах. (?), 08-Июн-24, 16:42	+/–
> Не знает про job сontrol в баше, Как твой вджоп контрол в баше (command not found если что) поможет при отвалившемся соединении? Или ты тоже эксперт в time travel?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

97. Сообщение от Qq (?), 08-Июн-24, 16:52	+/–
Чего там извлекать секрет? Там у стандартных totp/hotp простой формат, который глазами парсится из строки распознанной любой читалкой qr. А для особо упоротых - можно и сам qr глазами прочесть (я так не умею >.<‘)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

98. Сообщение от Аноним (-), 08-Июн-24, 19:52	+/–
> Функцию они добавили но ещё и недокументированные способы обхода добавили. > Так что полагаться на один инструмент от одного разработчика небезопасно. И вы конечно покажете комит где это все сделано?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

99. Сообщение от Аноним (-), 09-Июн-24, 05:48    Скрыто ботом-модератором	+/–
> я тоже интересуюсь? не знаю?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

100. Сообщение от Ilya Indigo (ok), 10-Июн-24, 11:12	+/–
sshguard можно точно удалять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

101. Сообщение от Котофалк (?), 10-Июн-24, 15:17	+/–
> Которые от подбора паролей вообще никак не защищены Если ты про пароль на ключ - сначала ключ должен утечь. Что уже интересная задача. А потом вторая интересная задача - подобрать пароль. Если ты считаешь две "линии обороны" недостаточными, почему одна из них тебя устраивает? Где логика, поясни? > И отдельно за использование ключей не по назначению - тут еще автор putty Что такое путти и какое отношение он имеет к разговору?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #102

102. Сообщение от нах. (?), 10-Июн-24, 16:25	+1 +/–
> Если ты про пароль на ключ - сначала ключ должен утечь. Что уже интересная задача. автор путти смотрит на тебя... с прищуром. Причем прикол этой "интересной задачи" в том, что в отличие от подбора пароля - в логах у тебя ничего нету, а если и есть - то не так просто сопоставить то что есть с тем что на самом деле случилось. > А потом вторая интересная задача - подобрать пароль. а вот она совсем неинтересная - потому что подбирало бы оно твой пароль к учетке - были бы и таймауты, и даже правильный пароль не принимается с четвертой попытки без уточнения почему - рви сессию и заново начинай, и записи в логах. А тут - ничего. И подбирай хоть на миллионе кряк-серверов параллельно. > Что такое путти и какое отношение он имеет к разговору? а вот это, недорогой эксперт с опеннета, я оставлю тебе для самостоятельного изучения. Как именно можно, оказывается, внезапно прогадить ключи, которые даже и не покидали твоего подкроватного хоста. И нет, от подобных ошибок не застрахован и швятой опенссх от швятых дол...ов из опенбсдвортим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #103

103. Сообщение от Котофалк (?), 10-Июн-24, 17:29	+/–
>> Если ты про пароль на ключ - сначала ключ должен утечь. Что уже интересная задача. > автор путти смотрит на тебя... с прищуром. Да пусть смотрит, меня не смущает. > Причем прикол этой "интересной задачи" в том, что в отличие от подбора пароля - в логах у тебя ничего нету Не очень ясно почему тебя интересуют логи подбора пароля, ну хочешь я тебе вышлю логи за пару лет, вдруг тебя это утешит. Ещё менее понятно, как ты умудрился столько написать и так и не ответить на вопрос. Давай я тебе переформулирую попроще, чтобы ты понял. Ещё раз: Почему утечка пароля (и в логах у тебя абсолютно валидный заход в момент утечки) лучше, чем утечка ключа (с момента утечки нужно ещё немного потрахаться с подбором). Спасибо. > И нет, от подобных ошибок не застрахован и швятой опенссх от швятых дол...ов из опенбсдвортим. А пароли конечно застрахованы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #105

104. Сообщение от Котофалк (?), 10-Июн-24, 17:32	+/–
> а OTP не лучшее ли решение? Не всегда. Но если ты считаешь, что утеря приватной части ключа вероятна - есть токены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #109

105. Сообщение от нах. (?), 10-Июн-24, 17:56	+/–
потому что "утечка пароля" - это из области очевидного-невероятного. Даже получив ненадолго доступ к чужой системе, ты лично вряд ли сумеешь скопировать оттуда пароль - даже если тебе сказочно повезет что именно в это время его кто-то набрал. А вот утечки закрытых ключей (или даже внезапное их появление там где они даже и не утекали, как в случае с неудачниками разок зашедшими с putty) - это регулярная реальность. Потому что с scp -r .ssh справится любой васян. > А пароли конечно застрахованы. Пароли или что-либо позволяющее внезапно-вычислить эти пароли - не лежат в общедоступной кучке на шитхабе. И в .ssh не лежат. Они вообще нигде не лежат по хорошему-то. А подбирать их - сложно и неэффективно, потому что логи, fail2ban, неполиткорректный blacklistd и таймауты. В отличие от пароля к ключу, который - хоть обподбирайся, никто не увидит и не помешает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #107

106. Сообщение от pavlinux (ok), 10-Июн-24, 18:43	+/–
> срабатывающий при большом числе неудачных попыток соединений с одного IP-адреса. У меня 250 человек долбятся на сервер, часто неудачно, .... всë издос весь NAT банить?   Может они бы лучше реализовали Port Knocking  из коробки?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #113

107. Сообщение от Котофалк (?), 10-Июн-24, 20:08	+/–
> потому что "утечка пароля" - это из области очевидного-невероятного. это в какой вселенной? инфра на паролях это триллионы копий парольчиков в текстовичках, в лучшем случае обфусцированных, не говоря уже о том что при целенаправленной атаке ты сам его введёшь. > А вот утечки закрытых ключей это регулярная реальность. как и паролей. > Пароли или что-либо позволяющее внезапно-вычислить эти пароли - не лежат в общедоступной кучке на шитхабе Как и приватная часть ключа. > И в .ssh не лежат. ключи  - внезапно! - там тоже не обязаны лежать. Более того, они как и пароли, совершенно не обязаны лежать на файлухе вообще. > А подбирать их - сложно и неэффективно, потому что логи Абсолютно просто и дёшево. Именно поэтому на ssh порты долбятся непрерывно. Неэффективно - да, но какое отношение это имеет к безопасности - не понимаю напрочь. Ещё раз повторю вопрос. Есть пароль, который если утёк - сразу компрометация. Есть ключ, который если утёк - компрометация с небольшой задержкой. И то и другое можно организовать так, что на файлухе не хранится, а можно организовать так, что хранится (и как я ВИЖУ) инфраструктура на основе паролей КИШИТ файликами с паролями - по причине автоматизации. В чём ты видишь разницу? Ну если не упираться в логи бессмысленного долбления ботов, которое ни о чём никому не говорит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #108

108. Сообщение от нах. (?), 10-Июн-24, 20:50	+1 +/–
> это в какой вселенной? инфра на паролях это триллионы копий парольчиков в текстовичках, значит твой парольчик от волшебного ключика - тоже в текстовичке, прям рядом с ключиком, я надеюсь? И да, если текстовичок утек - то тот чувак и ключик тоже с собой уволок. > Как и приватная часть ключа. Как оказалось, это и необязательно. > В чём ты видишь разницу? при твоем подходе - ни в чем, непонятно только, зачем тебе вообще пароли. Так удобно ключики от всего прямо без паролей сложить кучкой. При моем - что подобрать мало-мальски отличающийся от 123 пароль к реальной учетке практически нереально, а к ключу - можно подобрать любой вменяемый (а невменяемый ты быстро зае...шься набирать да и запоминать, и он окажется рядом с ключом плейнтекстом), потому что число попыток в секунду ограничено только мощностями и время на подбор у тебя безграничное, потому что своевременный экспайр и ротация ключей - это из области, к сожалению, ненаучной фантастики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #116

109. Сообщение от нах. (?), 10-Июн-24, 23:55	+/–
так ведь - нету. Ну то есть либо фигня позволяющая добыть либо закрытый ключ либо эквивалент, либо нечто вообще неработающее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

110. Сообщение от а (?), 11-Июн-24, 12:09	+/–
пф, так и ссш никто не ломал, если она правильно закрыта за впн и вобще настроена. а то что сломали - дак то неправильно было установлено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

113. Сообщение от Аноним (113), 13-Июн-24, 11:47	+/–
На случайном порту или последовательности портов. Но можно и на пакетном фильтре самому наваять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #114

114. Сообщение от pavlinux (ok), 14-Июн-24, 14:42	+/–
> На случайном порту или последовательности портов. > Но можно и на пакетном фильтре самому наваять. https://www.opennet.ru/opennews/art.shtml?num=35968
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

115. Сообщение от Аноним (115), 15-Июн-24, 04:06	+/–
А это не один и тот же персонаж? Я в них путаюсь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

116. Сообщение от Котофалк (?), 01-Июл-24, 17:26	+/–
> значит твой парольчик от волшебного ключика - тоже в текстовичке, прям рядом  с ключиком, я надеюсь? Надежды юношей питают. > при твоем подходе - ни в чем, непонятно только, зачем тебе вообще пароли. Так удобно ключики от всего прямо без паролей сложить кучкой. да как угодно. сравнивать утечку ключа нужно с утечкой пароля. но тебе оно понятное дел невыгодно -  тогда внезапно выясняется что бьющиеся с подбором пароля боты это просто бьющиеся боты, а не свидетельство твоей предусмотрительности. > При моем - что подобрать мало-мальски отличающийся от 123 пароль к реальной > учетке практически нереально Собственно подобрать ключ ещё сложнее > а к ключу - можно подобрать Ещё раз: если утёк пароль - тебе сразу хана, подбирать ничего не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема