> hesla ze slovniku? root/root, root/123456, root/admin, > root/password, atd? Nerozlisis to, jestli nekdo neudelal preklep ve > svym > loginu, takze zalohujes jeho spravny heslo, ktery pouziva i jinde, nebo > omylem pouzije existujici login ale pro jiny stroj, a opet spravne > heslo, > nebo nekdo pouzije existujici heslo pro roota, protoze si neuvedomi, ze > root > pres SSH defaultne nejde, atd. Kdyz se ti ten soubor nahodou dostane do > zaloh, bude zasifrovany? Co kdyz ten disk das jinam, urcite se k tomu > logu > nikdo nedostane? Apod. > > to co chces delat je podle me velmi nestastny, pokud opravdu > presne > nevic co delas a nemas k tomu dost dobry duvody. Nemyslim ze uvedeny > duvod > je ten dobrej. Samozrejme, je to na tobe.
Jedna se mi o modul nebo script, ktery je mozny vlozit do pam.d/sshd Vzhledem k tomu, ze se nikde neprihlasuji jako root, od toho je sudo, tak mne to az tak netrapi. To ze takovy log musi byt hlidany a pravidelne "odsypavany" je druha vec. Sifrovani techto zalezitosti je diskutabilni. Dle meho neme smysl z provoznich duvodu, z hlediska bezpecnosti samozrejmne ano. Samozrejmne, existujicim uzivatelum s povolenym prihlasenim na ssh se hesla zaznamenavat nesmi. Ale par zakladnich jako je root/admin /administrator/supervisor a jini, kteri se v systemu nevyskytuji mne zajimaji. Jedna se mi o cetnost, zda se jedna skutecne o brute force utok nebo utoky s predem pripravenym slovnikem, dale zdroje ip adres a cetnost utoku z techto adres, jejich identifikace a nejaka podrobnejsi analyza (jsou zaroven spambooty, nebo jenom nejaka sit spatne spravovanych serveru, je mozne provest korelaci se snortem na dalsi utoky ....) Tento zdroj beru spise pro teoretickou analyzu, zajima mne zdroj utoku (kompromitovany server/stroj postaveny pouze na tyto utoky?) a jeho spojeni s dalsimi moznymi metodami. 1) pouzivaji botnety nejake specialni metody pro další sireni ? (propagace pomoci automatizovanych exploitu atd.) 2) pouzivaji se botnety i pro odesilani spamu? Je mozne omezit spam zablokovanim IP adres s neuspesnymi prihlasenimi 3) pouzivaji se botnety i pro dalsi aktivity? Jake ? 4) jaka je cetnost vyskytu hesel? Maji nejaky vztah k danemu loginu? 5) jake loginy se pouzivaji nejcasteji to ukazuje sshd log 6) jake IP adresy to ukazuje sshd log také. Takovyto modul by zaroven mohl fungovat i pro passwd history. To uz je znacne diskutabilni zalezitost, osobne tomuto moc naklonen nejsem. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
