[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: установка своего пакета с зависимостями

Victor Wagner <vitus@wagner.pp.ru> wrote:
> On Thu, 23 Mar 2017 15:00:31 +0300
> Dmitry Alexandrov <321942@gmail.com> wrote:

> > > Нельзя, Первое, что нужно делать с любой машиной, хоть тестовой,
> > > хоть какой, это запрещать туда логин по ssh рутом  
> > 
> > Сколько это слышу, всегда было интересно, а какое-нибудь
> > доказательное обоснование этому есть, или это из разряда эмпирических
> > табу?  Чем имя пользователя + ключ + пароль (записанные в одном
> > месте) принципиально надежнее одного ключа?

> Каждый лишний бит, который нужно подобрать атакующему, увеличивает
> работу по brute-force вдвое. 

# iptables-save | grep SSH
:SSH_CHK - [0:0]
:SSH_LOG_DROP - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHK
-A FORWARD -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHK
-A SSH_CHK -m recent --set --name sshchk --mask 255.255.255.255 --rsource
-A SSH_CHK -m recent --update --seconds 60 --hitcount 4 --name sshchk --mask 255.255.255.255 --rsource -j SSH_LOG_DROP
-A SSH_CHK -m recent --update --seconds 1800 --hitcount 10 --name sshchk --mask 255.255.255.255 --rsource -j SSH_LOG_DROP
-A SSH_LOG_DROP -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:SSH Brute force attack?: " --log-level 6
-A SSH_LOG_DROP -j DROP

Увеличивает работу атакующего на годы, без лишних битов, которые надо хранить в голове. Но это не отменяет вопроса "а почему собстнаа ниизя root'ом" ?

> Поэтому, скорее всего, если вдруг машина, 22-й порт которой случайно
> или намеренно оказался доступным из сети, не пускает пользователей со
> стандартными, широко распространенными именами (root будет первым на
> попробовать), то атакующий пойдет дальше, искать более уязывимую машину.
Срипту пофигу, оно железное и с веб-камеры. Может и неделю подбирать стандартные пароли.

> Кроме того, если в конторе работают несколько человек, запрет ходить
> рутом очень упрощает расследования инцидентов вида "кто сломал тестовую
> систему?!". Поскольку в логах остается что заходил такой-то и делал
> sudo.  Или даже инцидентов вида "появилась такая вот хрень. Кому она
> понадобилась?". По логам находишь кто из сотрудников поставил, и ему
> спрашиваешь. 
Даа, в наш век развитых qemu/lxc/прости-господи-docker/systemd толпиться на одной тестовой машине???
Сдается мне, в консерватории что-то подправить надо.

Идилия в виде "логов от sudo" - она для мануалов ubuntu хороша. Ну вот
узришь ты в логах 3х юзеров с COMMAND=/bin/bash - кому по шапке то давать
будем? Всем троим?
Reply to: