> >> Ptam se kvuli zvedavosti, zajimalo by mne jaka hesla se pouzivaji > pri > >> slovnikovych utocich ... aby se jim clovek vyhnul ;o) > >> > >> Honza > > > > > > Pokud to neni na prekazku pro dane uziti stroje, myslim, ze > nejjednodussi > > je hodit skutecne ssh na jiny port a na 23 si dat nejaky vtipny > skript. > > ssh je na portu 22. > Pokud to neni na prekazku bezneho uziti, tak preferuji na firewallu > omezit spojeni na ssh bud ze seznamu znamych IP adres (to je hodne > restriktivni opatreni), nebo povolit jen "vsechny" ceske IP adresy a > zbytek zakazat (seznam ceskych IP se da ziskat z GeoIP). Beztak > naprosta > vetsina utoku jde z venku. Pro pripadne spojeni z venku pak mit pustene > ssh jeste i na dalsim portu bez tohoto omezeni. > Samozrejme tohle nezvysuje faktickou bezpecnost, jen clovek pak nema > plne logy balastu (coz se da dosahnout i vypnutim logovani :]) > > > Ja jsem treba sveho casu zkousel skript, ktery proste na vyzvu > neodpovidal > > - a bavil jsem se tim, jak dlouho utocnikovi spojeni viselo dokud ho > > nezavrel. > > Pomala odpoved se pouziva napriklad u SMTP (jako boj proti spammerum) a > rika se tomu tarpitting. > > Mirek
Co se tohoto tyka, prehazovani na jiné porty moc v lasce nemam, ale ma to svoje opodstatneni. Druhou věci je pak urcite blokovani. Ja pouzivam pf a u toho je mozne nastavit maximalni pocet otevrenych spojeni za minutu, dele je mozne nastavit pam_af_tool a denyip pripadne bruteforce, aby ukladal tyto spojeni do nejake tabulky. Pravdou je, ze zatím blokuji veskerou komunikaci z uvedenych adres, efektnejsi by vazne mohlo byt pouzit quick drop ;o)) To kvuli cemu se o tyto utoky zajimam ale neni hrozba pro ssh, ani plneni log souboru balastem. Duvodem je pravdepodobne ohrozeni dalsich sluzeb z uvedene IP, pokud se nejaky stroj nebo sit snazi o utok, proc by utocila pouze na jednu sluzbu. Jde mi o urcitou pasivni analyzu hrozeb. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
