| 1.1, Celarent (?), 11:36, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хххх, из мухи слона сделали. SSHGuard, или ограничение по открытию новых соединений в еденицу времени с одного ip.
| | |
| |
| |
| |
| 4.60, vitek (??), 01:20, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
есть такой анекдот:
> вчера перечитывал log'и. долго думал. | | |
| 4.77, John the User (?), 01:22, 17/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>Кто сказал, что подключения ведутся с одного хоста?
>log'и.
Кстати да, долбятся как дятлы.
| | |
|
|
| 2.73, Gr2k (ok), 18:13, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Видел решение с отсылкой одного особенного пакета, после чего в правилах автоматом прописывалось разрешение на коннект с того ип откуда этот спец пакет пришел. Это один вариант, довольно интересный на мой взгляд.
Насчет атак, это они логи моего шлюза не видели, 90% всех левых тыканий по портам это брут на ссш. И так было и год назад, и два и три.
| | |
| |
| 3.83, Дмитрий Ю. Карпов (?), 16:50, 19/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Видел решение с отсылкой одного особенного пакета, после чего в правилах автоматом прописывалось разрешение на коннект с того ип откуда этот спец пакет пришел.
Не проще ли открыть VPN-соединение, и потом по нему коннектиться по SSh?
| | |
|
|
| |
| 2.5, Ононим (?), 11:43, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>если перевесить ssh на другой порт, то атаки прекратятся :)
если атака целенаправленная - не прекратятся. просканят порты и продолжут муму колбасить.
| | |
| |
| 3.66, ЮзверЪ (?), 07:50, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
Да, если цель - именно эта машина, то да, будут долбить во все порты. Но чаще просто находят открытый 22-порт, и начинают ломать. В таком случае перенос номера порта помогает почти на 100 прОцентов.
| | |
| |
| 4.68, Pahanivo (??), 10:02, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >Да, если цель - именно эта машина, то да, будут долбить во
>все порты. Но чаще просто находят открытый 22-порт, и начинают ломать.
>В таком случае перенос номера порта помогает почти на 100 прОцентов.
>
Угу. Роботы же долбят.
| | |
|
|
|
| 1.4, Ононим (?), 11:41, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а что мешает ограничивать доступ к ssh по IP или хосту допустим? религия? :D
принцип "что не разрешено - то запрещено" никто не отменял.
| | |
| |
| 2.6, newser (ok), 11:46, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>а что мешает ограничивать доступ к ssh по IP или хосту допустим?
>религия? :D
>принцип "что не разрешено - то запрещено" никто не отменял.
Это не всегда удобно. Доступ может потребоваться из разных (случайных) мест.
| | |
|
| |
| 2.36, aim (??), 15:23, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >Не держите ссх на 22-м порту и будет вам счастье.
если публичный сервер - это не сильно помогает.
| | |
| 2.49, Аноним (2), 17:30, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
не сильно-то и удобно, если к серверу, например, нужен доступ из разных мест по svn поверх ssh - создавать каждый раз custom transport замахаишьси.
| | |
|
| 1.8, Аноним (2), 11:55, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ой, да ладно... Атаки были, есть, и будут есть. Когда у нас появляется новый
| | |
| |
| 2.11, Аноним (2), 11:58, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>наверняка связано с недавними проблемами с openssl в debian
нет, не связано. Проблемы с openssl ключами никак не влияют на стойкость паролей.
| | |
| |
| 3.70, Вовчик (?), 13:09, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>наверняка связано с недавними проблемами с openssl в debian
>
>нет, не связано. Проблемы с openssl ключами никак не влияют на стойкость
>паролей.
Рост числа атак действительно может быть связан с последними ошибками в Дебиановском openssl. Оказалось, что возможное число ключей, которые генерились последние два года на деб-машинах, сильно ограничено (~2^16). Можно довольно эффективно удалённо брутфорснуть логин с аутентификацией по незапароленному ключу.
| | |
|
|
| 1.10, Аноним (2), 11:57, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
сервер, его атакуют в тот же день или от силы на следующий.
Но атакуют с одного-двух айпишнеков. Стоит его загнать в hosts.deny, как всё становится спокойно. Недельку побанить такие ботнеты, и можно расслабиться - атак больше нет.
| | |
| 1.12, Оммм (?), 11:59, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>если атака целенаправленная - не прекратятся. просканят порты и продолжут муму колбасить.
если атака целенаправленная, то никто не будит брутить %)
брутят скрипты/сканеры и прочая шваль автоматизированная
| | |
| |
| 2.15, Ононим (?), 12:03, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
тупых школьнегов и недохацкеров еще никто не отменял. начитаются доисторической литературы, а потом рвуться все поломать. хотя таких в последнее время становится все меньше и меньше. взрослеют наверно.
| | |
|
| 1.14, Celarent (?), 12:02, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А какая разница с каких ip ведутся атаки? Делаем с помощью iptables или pf ограничение по открытию новых соединений с одного хоста (например не больше трёх в минуту), и тогда brute-force просто теряет смысл - время перебора становится непомерно большим.
| | |
| |
| 2.16, Ононим (?), 12:04, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
> А какая разница с каких ip ведутся атаки? Делаем с помощью
>iptables или pf ограничение по открытию новых соединений с одного хоста
>(например не больше трёх в минуту), и тогда brute-force просто теряет
>смысл - время перебора становится непомерно большим.
ботнеты еще никто не отменял.
| | |
|
| 1.17, Fantomas (??), 12:09, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Хахаха, нашли проблему.
Ну, все время кто-то что-то там подбирает. Ну и что?
Если пароль взломоустойчивый то пускай подбирают.
Я не обращал и не обращаю никакого на это внимания.
| | |
| |
| 2.19, Аноним (2), 12:18, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
Проблема находится тогда, когда ты пытаешься зайти на сервер, а тебя не поскает - потому что два бота DoSят твой sshd, перебирая пароли с максимальной возможной скоростью из расчёта, что бот один. Когда бот один - это не заметно. Когда их двое - третий уже не может зайти. Поэтому надо банить или ограничивать соединения по айпи.
| | |
|
| |
| 2.27, bsdaemon (??), 13:40, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >denyhosts и никаких проблем.
>Новость высосана из пальца.
Это не новость а предостережение!
Пример с теми же червями, все знают что они есть, но иногда полезно знать что-то такой-то червь на таком-то порту набирает обороты...
| | |
|
| 1.20, georg (??), 12:20, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Чем то напомнило анекдот:
В чате:
HaCKer - Дайте мне IP какого-нибуль лоха, ща я его завалю!
Некто - 127.0.0.1
системное сообщение: HaCKer вышел из чата
| | |
| 1.21, Fr. Br. George (?), 12:27, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
По крайней мере, экспериментально доказано, что уже и BF-боты используют 1337. Порщайте, читаемые p@55w0rd-ы.
| | |
| 1.23, Аноним (2), 12:47, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
дам а просче всего запратит ползоватся user/pass толко с ключик и все ... атаки можно делата но они без смисл.
| | |
| 1.25, kos (??), 13:28, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Да, за последнюю неделю увеличелось офигенно. первая колонка дата, вторая кол-во забаненных ИПшников. Причем после 5 неудачных логинов, ИПшка банится на час. По моим наблюдениям, в атаке участвуют до 1000 машин с разными ИП.
FW 2
05 6
06 31
07 250
08 332
09 291
10 86
11 15
12 673
13 472
14 389
FW 2
05 2
06 1
07 11
08 13
09 9
10 6
11 3
12 1243
13 418
| | |
| 1.29, Аноним (9), 13:43, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я делаю так: автоматически запускается скрипт, проверяющий лог на предмет большого числа попыток подключиться к ssh, и, для "провинившегося" IP добавляю правило в iptables. Одновременно генерирую скрипт удаления этого правила. Следующим днем выполняю скрипт, и, накопившиеся правила предыдущего дня, сбрасываются.
И потом, важно придумать "хороший" логин и сложный пароль. Мой логин еще не разу не угадали - до пароля даже не дошло...
| | |
| |
| 2.35, Painbreinger (?), 15:22, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Я делаю так: автоматически запускается скрипт, проверяющий лог на предмет большого числа
>попыток подключиться к ssh, и, для "провинившегося" IP добавляю правило в
>iptables. Одновременно генерирую скрипт удаления этого правила. Следующим днем выполняю скрипт,
>и, накопившиеся правила предыдущего дня, сбрасываются.
> И потом, важно придумать "хороший" логин и сложный пароль. Мой
>логин еще не разу не угадали - до пароля даже не
>дошло...
использовать модуль recent на иптаблесе религия не позволяет?
| | |
| 2.39, pavlinux (ok), 15:34, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 > И потом, важно придумать "хороший" логин и сложный пароль. Мой
>логин еще не разу не угадали - до пароля даже не дошло...
KjubyЕo'НbРfpeНtУuflfkb-LjGfhjkzLf;tYtLjikj... - ЛогинЕщеНеРазуНеУгадали-ДоПароляДажеНеДошло...
| | |
|
| 1.31, GateKeeper (??), 14:19, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
перманентный фильтр на 22 порту с:
table <sshallow> persist
pass from <sshallow> to $inet_addr port ssh keep state
Таблица <sshallow> заполняется путём выполнения шелл-скрипта из серверной части https-страницы, авторизующей пользователей по сертификатам. В конце шелл-скрипта стоит незатейливый примерно так: 'at "now + 5 minutes" pfctl -t sshallow -Td $HOSTIP', выглядящий уборщик мусора из таблицы.
| | |
| |
| 2.40, pavlinux (ok), 15:42, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>KNOCK1="123"
>KNOCK2="456"
>KNOCK3="789"
>KNOCK4="555"
>TIME_OPEN="30"
на порты $KNOCK1, затем $KNOCK2, $KNOCK3 и $KNOCK4.
> При этом обращение на эти порты в другом порядке не откроет порт SSH для доступа.
Ещё бы номера портов вынести за 1024, приписать по 0 или 00
KNOCK1="12300"
KNOCK2="45600"
KNOCK3="7890"
KNOCK4="55500"
TIME_OPEN="30"
Не забыть поправить в Linux_е ipv4.port_range="1024 65535"
| | |
| |
| 3.45, PereresusNeVlezaetBuggy (ok), 16:53, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >>KNOCK1="123"
>>KNOCK2="456"
>>KNOCK3="789"
>>KNOCK4="555"
>>TIME_OPEN="30"
>
>на порты $KNOCK1, затем $KNOCK2, $KNOCK3 и $KNOCK4.
>> При этом обращение на эти порты в другом порядке не откроет порт SSH для доступа.
>
>Ещё бы номера портов вынести за 1024, приписать по 0 или 00
Если никто посторонний не сможет открывать порты, то да. Иначе пусть лучше будут только для рута...
| | |
|
| 2.50, Аноним (-), 17:38, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>И все. Предсказать порядок портов оооочень сложно - сканирование не спасает.
для пущей безопасности я бы еще использовал одноразовые пароли через OPIE.
| | |
|
| 1.33, Аноним (9), 14:23, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Спасибо за скрипт, интересен, но на мой взгляд проще использовать fail2ban. Дополнительно позовляет банить неправильные логины на другие сервисы и осуществлять более гибкий контроль за процессом.
| | |
| |
| 2.34, John (??), 14:29, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Спасибо за скрипт, интересен, но на мой взгляд проще использовать fail2ban. Дополнительно
>позовляет банить неправильные логины на другие сервисы и осуществлять более гибкий
>контроль за процессом.
Только разница в том, что мой пример не дает даже пытаться войти по SSH левому человеку.
| | |
|
| 1.37, Аноним (9), 15:27, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
стоит порт нокинг на основе iptables все пучком, смысла долбится или сканировать хост на сервере нет, не реальо не зная необходимые порты
| | |
| 1.38, fa (??), 15:33, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 У меня одно время хобби было. Ставил старенькую тачку "лицом в инет" с простеньким паролем (user: sergio, pass: sergio. Разгадывали на ура, если кому интересно будет повторить) ну и глядел че там кулхацкеры делают. Один скрипт-ломальщик (а может и живой кто это был) перетащил мне на машину всего себя, включая список с уже угаданными логинами/паролями других тачек. Большинство оказалось экзотическими девайсами с встроенными линуксами и старыми заброшеными машинами.
| | |
| 1.41, maksimka (??), 15:45, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
iptables -N SSHSCAN
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j SSHSCAN
iptables -A SSHSCAN -m recent --set --name SSH
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j LOG --log-level info --log-prefix "SSH SCAN blocked: "
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
| | |
| 1.43, Аноним (9), 16:25, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>У меня одно время хобби было. Ставил старенькую тачку "лицом в инет"
тоже хочу приколоться - поставить на виртуальной машине голой жопой в и-нет =))
посмотреть как кулхацкеры резвятся...
| | |
| |
| 2.54, Volodymyr Lisivka (?), 20:14, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >>У меня одно время хобби было. Ставил старенькую тачку "лицом в инет"
>
> тоже хочу приколоться - поставить на виртуальной машине голой жопой
>в и-нет =))
> посмотреть как кулхацкеры резвятся...
Ну так ставишь виртуалку, ставишь мониторы, делаеш юзеру root пароль 12345, и пускаешь жопой в инет. Только не забудь запретить исходящие конекты на реальном хосте, иначе твоя машина станет сканировать других. Потом делаешь дамп памяти и разбираешся на досуге чё там творится.
| | |
| 2.84, Дмитрий Ю. Карпов (?), 16:51, 19/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
> тоже хочу приколоться - поставить на виртуальной машине голой жопой в и-нет =))
> посмотреть как кулхацкеры резвятся...
А если с тебя начнут рассылать спам?
| | |
|
| 1.44, Аноним (9), 16:34, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
вспомнить про mlimit в iptables да запретить вход по логину паролю(тока сертификатом).ну и заодно разрешить вход тока с определнных айпишников
| | |
| 1.47, Alex_k (?), 17:09, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 У меня сначал впн поднимаеться а там внурти уже что хочу ворочу помойму безопасне намного.
| | |
| 1.48, Аноним (9), 17:25, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Использую pf и ограничение на количество соединений в единицу времени с одного ip + ограничение количества одновременных соединений с одного ip. Провинившиеся ip помещаю в таблицу и персонально для них устанавливаю "плохой канал", с потерей пакетов порядка 75%. Помогает хорошо...
| | |
| |
| 2.71, Sergo1 (ok), 13:57, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >Использую pf и ограничение на количество соединений в единицу времени с одного
>ip + ограничение количества одновременных соединений с одного ip. Провинившиеся ip
>помещаю в таблицу и персонально для них устанавливаю "плохой канал", с
>потерей пакетов порядка 75%. Помогает хорошо...
А какими средствами длается "плохой канал" с заданнм дропаньем?
| | |
| |
| 3.76, Аноним (-), 00:12, 17/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>А какими средствами длается "плохой канал" с заданнм дропаньем?
block on $ext_if proto tcp from <abusive_hosts> to $ext_addr port 22 probability 75%
| | |
|
|
| 1.51, Bzdun (?), 19:20, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
/etc/pf.conf:
TCP="proto tcp"
SSA="flags S/SA"
MSF="modulate state"
.....
table <sshlock> persist
.....
pass in $TCP to $ext_addr port ssh $SSA label SSH-Limit \
$MSF (max-src-conn-rate 10/60, overload <sshlock> flush global)
block drop in log from <sshlock> to any label SSH-Lock
| | |
| 1.56, Аноним (2), 21:23, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А нельзя например 100 раз набрал неверный логин и пароль, то в бан IP адрес?
Как раз собиреться хороший список проксей....
| | |
| |
| 2.57, Аноним (2), 21:24, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>А нельзя например 100 раз набрал неверный логин и пароль, то в
>бан IP адрес?
>Как раз собиреться хороший список проксей....
(имеется введу подрят 100 раз с ошибкой)
| | |
| 2.59, Аноним (2), 21:27, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>А нельзя например 100 раз набрал неверный логин и пароль, то в
>бан IP адрес?
>Как раз собиреться хороший список проксей....
(имеется введу подрят 100 раз с ошибкой)
| | |
|
| 1.58, Аноним (2), 21:27, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В продолжении темы, интереснее было бы сделать так, что бы после 100 раз подрят неправильно набранных паролей залагиниться было бы вообше нельзя, но эмуляция работы ssh оставалась....
| | |
| 1.61, vitek (??), 01:27, 16/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
когдато, в древние времена (когда компы были деревянными, а кодировка была одна)
был такой трюк:
обратный дозвон.
| | |
| 1.62, fa (??), 01:31, 16/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ох, и чего не понапридумывает народ, лишь бы не менять порт ssh. В хозяйстве более 50-и машин в разных сетях. При установке меняю порт ssh (ну и PermitRootLogin no на всякий случай). Некоторые 4 года уже стоят. Ни на одной ни разу не был замечен bruteforce. Да что там, хоть бы просто ткнулся кто.
| | |
| |
| 2.64, Oles (?), 01:59, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 +1
Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить, с извратом, , ключи. А пароль оставить 12345 :)
| | |
| |
| 3.74, Аноним (2), 20:26, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>+1
>Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить,
>с извратом, , ключи. А пароль оставить 12345 :)
О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого скана ...
Перевесть порт это так - чтоб логи не пухли. Не защитит вас зарывание головы в песок - уж сколько раз о "security by obscurity" толковали ,)
| | |
| |
| 4.75, fa (??), 22:48, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого
>скана ...
>Перевесть порт это так - чтоб логи не пухли. Не защитит вас
>зарывание головы в песок - уж сколько раз о "security by
>obscurity" толковали ,)
скан сам по себе ничем не опасен.
| | |
| 4.85, littster (?), 09:13, 20/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>+1
>>Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить,
>>с извратом, , ключи. А пароль оставить 12345 :)
>
>О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого
>скана ...
>Перевесть порт это так - чтоб логи не пухли. Не защитит вас
>зарывание головы в песок - уж сколько раз о "security by
>obscurity" толковали ,)
А PortSentry с блокировкой портскана или snort поставить религия не позволяет??
| | |
|
|
| 2.72, Denis (??), 15:44, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 а если у тебя CVS сервер и около 300 пользователей на нем? каждому пройти и порт поменять?
понимаю, что надо было делать изначально, но так исторически сложилось.
| | |
|
| |
| 2.81, tiger (??), 14:40, 19/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>/usr/ports/security/sshit
оно отстой. выше gatekeeper показал верный метод, но я делал наоборот, 22 порт был открыт всем, разрешено было 3 попытки в мин с 1 ip коннектится, overload добавлялся в таблицу badusers которая и была закрыта.
| | |
|
| 1.69, im (??), 12:10, 16/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
geoip на 22 порт, оставляем только свой каунтри-остальные отдыхают
| | |
| 1.79, John the User (?), 07:56, 17/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>использование аутентификации по публичному ключу
Таким хреновым советчикам надо больно е*нуть в бубен за такие советы учитывая уязвимость в дебиановском OpenSSL и геморрой с этими самыми ключами, мать их.
| | |
| |
| 2.82, tiger (??), 14:44, 19/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>использование аутентификации по публичному ключу
>
>Таким хреновым советчикам надо больно е*нуть в бубен за такие советы учитывая
>уязвимость в дебиановском OpenSSL и геморрой с этими самыми ключами, мать
>их.
"уязвимость в дебиановском OpenSSL" это проблема исключительно тех кто пользуется дебианбейсд фигней, а также самим дебианом. Не нужно так резко отзываться о людях которые выбрали более адекватные дистрибутивы ;-)
| | |
| |
| 3.86, Michael Shigorin (ok), 17:29, 28/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >"уязвимость в дебиановском OpenSSL" это проблема исключительно тех
>кто пользуется дебианбейсд фигней, а также самим дебианом.
Если бы...
>Не нужно так резко отзываться о людях
>которые выбрали более адекватные дистрибутивы ;-)
Теперь представьте себе, что на хосте с более адекватным дистрибутивом размещён публичный ключик, при генерации которого мощность множества секретных ключей была сведена к 98301. Причём вероятность распределена заведомо неравномерно, особенно для пользователя root. Бишь всё это неплохо перебирается в обозримое время.
Так что если кто вдруг ещё не воспользовался утилитой для поиска увечных ключей, принесённых пользователями лучшего дистрибутива всех времён и народов (tm) или там самопопулярного дистрибутива всех времён и народов (tm) -- предлагаю заглянуть сюда:
http://wiki.debian.org/SSLkeys#head-45e521140d6b8f2a0f96a115a5fc616c4f1baf0b
PS: в Owl и ALT Linux тем временем обкатывается оригинальный вариант openssh, который с несущественными накладными расходами отбрасывает такие ключи "на лету": http://openwall.com/lists/oss-security/2008/05/27/3
PPS: надеюсь, для разработчиков Debian это будет урок насчёт того, что здравый смысл поклонением инструментарию (полиси, whatever) не заменяется.
| | |
| |
| 4.87, Лена (??), 20:39, 01/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
А чего никто до сих пор не предложил вызывать sshd из inetd? У inetd есть возможность лимитировать количество соединений с одного IP с минуту, например одно или два соединения в минуту.
| | |
| |
| 5.88, Pahanivo (ok), 14:30, 03/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>А чего никто до сих пор не предложил вызывать sshd из inetd?
>У inetd есть возможность лимитировать количество соединений с одного IP с
>минуту, например одно или два соединения в минуту.
Ны как вариант ты потеряещь сервер если inetd глюканет.
| | |
|
|
|
|
|
