הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   תחזוק שרתים ושירותי רשת נוספים (https://hosts.co.il/forums/forumdisplay.php?f=29)
-   -   חסימת גישת ROOT (https://hosts.co.il/forums/showthread.php?t=109035)

Jonathan Zeierman 05-07-15 06:13

חסימת גישת ROOT
 
היי חברים,
קראתי באינטרנט קצת ולפי מה שהבנתי שמומלץ לחסום את הגישה הישרה לRoot ע"י עריכה של:
קוד:

/etc/ssh/sshd_config
קוד:

PermitRootLogin = no
וליצור משתמש רגיל ופשוט להשתמש ב- sudo.
החשש הוא שרובטים כנראה יסנו לתקוף את השרת עם סיסמאות כלומר: ssh root@$IP בסגנון הזה.
לשרת שלי אני מתחבר עם SSH KEY, מישהו יכול לשפוך אור על הנושא?
למה כן לבטל את הגישה ומהי הדרך הנכונה לבצע?
תודה.

OMG 05-07-15 10:58

היי ג'ונתן.
בין אם תשתמש ב sudo או su , כחלק מהרצון תמיד להגן על השרת בדרך הטובה ביותר, ישנם מספר דרכים לבצע חסימות.

באבטחה של גישה לשרת ה Best practice תמיד:
1. שימוש בפורט SSH לא דיפולטיבי (ברירת מחדל 22 )
2. חסימה ברמת Firewall לפורט SSH ולאפשר גישה רק עבור ה IP הקבוע שלך במידה ויש לך, או לחילופין לעבוד עם firewall בעל ניהול Web ולאפשר את האייפי שלך ידנית כל פעם שתרצה להתחבר.
3. חסימת התחברות ישירה למשתמש root , מכיוון שכל BOT ינסה תמיד לנחש סיסמאות עבור משתמש root מומלץ ליצור משתמש בעל שם לא קבוע ( jonathan ) , להוסיף אותו לרשימת AllowUsers לאחר שאתה מוודא שאתה אכן יכול להתחבר איתו
ולבצע החלפת משתמש לרוט ( su root ) מומלץ לחסום את ההתחברות הישירה של משתמש root.
4. ביטול התחברות באמצעות סיסמא ( PasswordAuthentication ) ולעבור להתחברות באמצעות מפתחות ( PubkeyAuthentication ).

זה בגדול, תמיד יש איפה להשתפר :)

Tomer 05-07-15 16:40

OMG, ההמלצות שלך נכונות, מלבד ההמלצה הראשונה - לא רלוונטי להחליף פורט, ניתן לעלות על זה בקלות עם nmap.

Jonathan Zeierman 05-07-15 16:41

היי
תודה על התגובה!
1. קראתי באינטרנט ששינוי הפורט כבר לא רלוונטי.
2. על איזה פירוול היית ממליץ? CSF? יש לי IP קבוע.
3. אני מתחבר באמצעות מפתחות public key ולא דרך סיסמה.
4. מצאתי דרך שברגע שאתה עורך את:
קוד:

/etc/ssh/sshd_config
ואז:
קוד:

PermitRootLogin without-password
בעצם מבטל את האפשרות לנסיון דרך סיסמה והשרת זורק אותך אם אין לך KEY.
דרך פעולה טובה? או שעדיף ליצור משתמש ולתת לו הרשאות לsu/sudo?

kolin 05-07-15 17:01

CSF מומלץ עדיין. עדיף ליצור משתמש עם הרשאות מוגבלות לא כמו רוט. ולתת sudo. :)

Talbo 06-07-15 18:27

ציטוט:

נכתב במקור על ידי Jonathan Zeierman (פרסם 896438)
היי
תודה על התגובה!
1. קראתי באינטרנט ששינוי הפורט כבר לא רלוונטי.
2. על איזה פירוול היית ממליץ? CSF? יש לי IP קבוע.
3. אני מתחבר באמצעות מפתחות public key ולא דרך סיסמה.
4. מצאתי דרך שברגע שאתה עורך את:
קוד:

/etc/ssh/sshd_config
ואז:
קוד:

PermitRootLogin without-password
בעצם מבטל את האפשרות לנסיון דרך סיסמה והשרת זורק אותך אם אין לך KEY.
דרך פעולה טובה? או שעדיף ליצור משתמש ולתת לו הרשאות לsu/sudo?

ציטוט:

נכתב במקור על ידי kolin (פרסם 896440)
CSF מומלץ עדיין. עדיף ליצור משתמש עם הרשאות מוגבלות לא כמו רוט. ולתת sudo. :)

היי ג'ונתן, במידה ואכן כתובת ה-IP שלך סטטית, אין צורך בהתקנת Firewall צד שלישי.
ניתן להשתמש בiptables כך שיאפשר אך ורק ל-IP ספציפי להתחבר לשרת בפורט 22.

מצרף לך פקודה לדוגמה כאשר 1.1.1.1 מתחלף ב-IP שלך:
קוד:

iptables -I INPUT -p tcp -s 1.1.1.1 --dport 22 -j ACCEPT
כמובן שהפוליסה "INPUT" צריכה להיות במצב של DROP.
* שים לב שכאשר הפוליסה "INPUT" במצב DROP היא תפיל כל פאקטה מלבד החוקים המאושרים. ממליץ מאוד לקרוא על iptables לפני.

קוד:

iptables -A INPUT -p DROP
שים לב להריץ את הפקודה הנ"ל רק לאחר שהבנת את השימוש שלה כדי להימנע ממצב של נעילה מחוץ לשרת.

צור איתי קשר אם אתה צריך עזרה :)
בהצלחה.

Rhost 07-07-15 22:30

תומר אני חולק איתך על להחליף פורט לדעתי זה דבר כדאי מאוד, יש הרבה ברוט פורס שפשוט סורקים על פורט 22 זה שאתה משנה את זה לפורט אחר מבטל בערך 90% רוטקיטים למניהם.

דניאל 08-07-15 11:40

אני מסכים עם תומר וחולק על מי שחולק עליו.
גילוי פורט הוא פעולה שלוקחת 30 שניות, גם אם שינית אותו.

הדרך להתגבר על bruteforce בשיטה הטובה ביותר היא פשוט לחסום את הגישה ב-FW לכתובות IP ספציפיות, בטח לא לשנות פורט.

Rhost 08-07-15 18:04

כיום יש ברוט פורסים מתוכחמים שיכולים להריץ לך ברוט פורס מכמה וכמה כתובות אייפי החסימה שאתה עושה מפיירוואל עד שזה יחסום עדיין יש סיכוי להריץ על השרת שלך מאות אלפי סיסמאות , וכל זה באופן אוטומטי מרוטקיט, לפני סריקת ברוט פורס הבוט סורק עם קיים פורט 22 פתוח ורק אז הוא סורק את האייפי אבל עם שינית את הפורט הוא פשוט מדלק עליך.
ואם יש אופציה לשנות את הפורט ועוד בפעולה מאוד פשוטה אני לא רואה סיבה לא לשנות את הפורט.

ועוד דבר אם קיימים לשרת אחד כמה כתובות אייפי תמיד כדי לשים אייפי רק בשביל ssh ולא להשתמש בו לשירותים אחרים.


כל הזמנים הם GMT +2. הזמן כעת הוא 14:15.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ