On 26 December 2016 11:33:35 EET, Adrian Sevcenco <[email protected]> wrote: >Salut! > >On 12/25/2016 03:15 PM, [email protected] wrote: >> Nu poti opri fiindca le fac altii. Poti insa securiza portul 22. >> Evident ideal ar fi sa permiti conectarea numai de la adrese >> cunoscute. Daca nu poti face asta, exista iptables match recent care >> e minunat in acest context, sau alternativ port knocking. Nu muta >> daemonul mai sus de portul 1024 ca risti sa dai in alte belele. Daca >Scuze de hijacking dar ce alte belele pot fi? Eu am toate serverele cu >ssh-ul > 1024 de citiva ani .. la ce sa ma astept? >
A cam zis rpetre totul. Surpriza suplimentara nementionata f explicit e ca un daemon legat la un port > 1024 poate fi ucis de un program rauvoitot user space si inlocuit de un altul care, de pilda, sa ofere "facilitatea" de a sniffa partea de login/auth (ceea ce e o țîră mai dificil daca daemonul asculta pe un port < 1024). Mutatul sshd nu aduce nimic dpdv securitate, doar reduce putin zgomotull de fond din loguri, eliminindu-i pe cei care scaneaza exclusiv portul 22 (si ii face pe admini sa se simta umezi in consecinta). Numarul de boti insa la ora actuala e atit de mare iar benzile atit de largi incit scanarea tuturor porturilor nu il costa pe atacator nimic in plus fata de a incerca doar un port. In urma cu 20 de ani era usor avantajos sa reduci zgomotul schimbind portul. Acum e cvasi inutil. Wolfy PS: Arunca un ochi la "Fast Internet-wide Scanning and its Security Applications [30c3]" pe youtube ca sa intelegi mai bine ce spun . E usor boring dar in final rezultatele sint ...mmmm... edificatoare si self-explanatory PS2: uite-te si la sslh, e interesant. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
