ssh e un po di sicurezza..

[HexDEF6]

Quote:

Originariamente inviato da pinok

Con che diritti gira knockd?
In questo post http://lists.debian.org/debian-itali.../msg00275.html di sostiene che alla fine introduca più debolezze che sicurezze.
Senza offesa, chi ha ragione? O forse dal 2004 ad oggi qualcosa è cambiato in knockd?

Grazie !

secondo me il discorso si fa complesso...
da una parte nel post da te segnalato il tipo ha perfettamente ragione: aggiugere codice che gira come root su una macchina e' aggiungere vulnerabilita' in piu'...
ma come tutte le cose bisogna sapere dove usare knockd e dove e' meglio farne a meno:
se tu hai una macchina in rete che e' un simil-desktop o il tuo serverino casalingo, knockd diventa molto utile perche' cosi' puoi far credere di avere tutte le porte chiuse all'esterno, e un eventuale rompiballe di basso livello non considerera' nemmeno il tuo pc, infatti il 99% degli attacchi sono fatti in maniera automatica e sono del tipo:
- prendo un indirizzo ip a caso (o quasi) vedo se ha aperto la porta 22 (o tutte le porte, conforme il tipo di attacco)
- se trovo qualcosa di aperto provo a fare un brute force della password (e ti ritrovi nei log una tonnellata di tentativi falliti di accesso)

se invece avevi knockd ti risparmiavi tutti i tentativi (che risultano inutili se hai una buona passw, ma sono sempre fastidiosi)...

quindi knockd e' molto utile contro attacchi semi-automatici, se invece chi ti ha attacca ha proprio te come obbiettivo, ed e' in una posizione privilegiata (attacchi MITM) beh knockd e' assolutamente inutile!

quindi di sicuro knockd NON e' la soluzione a tutti i mali, ma almeno si tolgono dai piedi la maggior parte degli attacchi.

Ovviamente tutto quello che ho detto e' IMHO e siccome non sono un super-esperto di sicurezza e' da prendere con le pinze!

Ciao

[pinok]

Quote:

Originariamente inviato da HexDEF6

secondo me il discorso si fa complesso...
....
se tu hai una macchina in rete che e' un simil-desktop o il tuo serverino casalingo,
....
quindi knockd e' molto utile contro attacchi semi-automatici, se invece chi ti ha attacca ha proprio te come obbiettivo, ed e' in una posizione privilegiata (attacchi MITM) beh knockd e' assolutamente inutile!
....

Ciao, ti ringrazio per le tue osservazioni, che mi fanno pensare che su un server in produzione knockd è del tutto inutile se non pericoloso.
Se poi aggiungiamo che al 99% è più importante complicarsi la vita per proteggere un server in produzione che il serverino emule in casa, si potrebbe arrivare a questa conclusione:

1) In casa non vale la pena di complicarsi troppo la vita con Knockd
2) Su un server serio knockd porta più rischi che benefici

Conclusione: serve knockd?

[X3noN]

davvero un ottimo lavoro...complmenti!!!

mi iscrivo al topic!

[HexDEF6]

Quote:

Originariamente inviato da pinok

Ciao, ti ringrazio per le tue osservazioni, che mi fanno pensare che su un server in produzione knockd è del tutto inutile se non pericoloso.

beh non e' cosi' pericoloso, il bello di knock e' che non e' qualcosa "che si vede", cioe' non viene rilevato da uno scan di nmap per esempio, quindi provare exploit (se ce ne sono!) su un software che nemmeno sai se e' installato, non e' il massimo dei tentativi di attacco!

Quote:

Originariamente inviato da pinok

Se poi aggiungiamo che al 99% è più importante complicarsi la vita per proteggere un server in produzione che il serverino emule in casa, si potrebbe arrivare a questa conclusione:

beh installare knockd e configurarlo comporta la perdita di 5 minuti, quindi puo' valerne la pena....
In alternativa io chiudo la porta dell'ssh e uso openvpn, sul server accetto solamente connessioni verso una porta specifica (quella di openvpn) che hanno come sorgente un'altra porta specifica (e quindi anche in questo caso uno scan non rivela il server openvpn) poi accedo con ssh via tunnel vpn... ovviamente questo e' piu' sicuro, ma comporta decisamente del lavoro in piu'.

Quote:

Originariamente inviato da pinok

1) In casa non vale la pena di complicarsi troppo la vita con Knockd
2) Su un server serio knockd porta più rischi che benefici

Conclusione: serve knockd?

si se il "livello di sicurezza" richiesto non e' paranoico, e visto il poco tempo che ci si mette ad implementarlo direi che e' una buona soluzione per aumentare il livello di sicurezza...

Ovviamente prima di knockd ecc. meglio che il server sia configurato per il verso giusto, e che le password usate dai vari utenti siano forti e non ciccio pluto o paperino!

Ciao

[Hackman]

Complimenti per la guida.

Nella configurazione ssh è possibile configurare che un utente acceda solo da un determinato ip, tipo utente1@@192.168.0.10.
E' possbile legare questo ip al mac address della scheda di rete?

[HexDEF6]

Quote:

Originariamente inviato da Hackman

Complimenti per la guida.

grazie!

Quote:

Originariamente inviato da Hackman

Nella configurazione ssh è possibile configurare che un utente acceda solo da un determinato ip, tipo utente1@@192.168.0.10.
E' possbile legare questo ip al mac address della scheda di rete?

non capisco bene quello che ti serve...
se quello che vuoi e' che ssh al posto dell'ip vada a controllare il mac address, allora non puoi farlo, dovresti buttarti su iptables (ma allora va al becco la possibilita' di configurare gli accessi per utente), poi ricordo che se uno vuole "fregarti" per cambiare il mac address di una scheda di rete e' faccenda di 5 minuti.
Se invece quello che vuoi e' che lo stesso pc (quindi il dato mac address) abbia sempre lo stesso ip, allora devi configurarti un server dhcp (se hai un router, dovrebbe avere un server dhcp e dovrebbe essere facile da configurare)

Ciao

[Hackman]

Mi sono spiegato male.
So che si può cambiare il mac address.
Quello che volevo otterene io era questo:
Il pc in ha un ip fisso, quindi niente dhcp.
Utente1 legato ad un certo ip e legato al mac address della scheda.
Quindi se l'untente cambia PC, mette lo stesso ip non riesce ad autenticarsi.
Da quello che ho capito ssh non riesce a controllare il mac address quindi, dovrei far controllare ip e il mac address a iptables e poi utente1 a ssh.
Comunque volevo sapere solo se era fattibile.

[jimmazzo]

Ciao Hex, grazie mille per la guida, è scritta davvero bene

[texerasmo]

Ciao,
complimenti per la guida.
Diciamo che io sono uno che controlla spesso il log.
Volevo chiederti un cosa.
Ho un server linux virtuale su arua e costantemente ricevo tentativi di intrusione via ssh.

come questi Mar 9 02:49:16 62 sshd[32245]: Failed password for invalid user mona from 87.106.102.165 port 45015 ssh2
Mar 9 02:49:16 62 sshd[32387]: Invalid user mona from 87.106.102.165
Mar 9 02:49:19 62 sshd[32387]: Failed password for invalid user mona from 87.106.102.165 port 45097 ssh2
Mar 9 02:49:19 62 sshd[32544]: Invalid user monika from 87.106.102.165
Mar 9 02:49:22 62 sshd[32544]: Failed password for invalid user monika from 87.106.102.165 port 45179 ssh2
Mar 9 02:49:22 62 sshd[32680]: Invalid user monika from 87.106.102.165
Mar 9 02:49:24 62 sshd[32680]: Failed password for invalid user monika from 87.106.102.165 port 45257 ssh2
Mar 9 02:49:25 62 sshd[1428]: Invalid user monoko from 87.106.102.165
Mar 9 02:49:27 62 sshd[1428]: Failed password for invalid user monoko from 87.106.102.165 port 45337 ssh2
Mar 9 02:49:28 62 sshd[1626]: Invalid user moriko from 87.106.102.165
Mar 9 02:49:30 62 sshd[1626]: Failed password for invalid user moriko from 87.106.102.165 port 45419 ssh2
Mar 9 02:49:31 62 sshd[1814]: Invalid user moriko from 87.106.102.165
Mar 9 02:49:33 62 sshd[1814]: Failed password for invalid user moriko from 87.106.102.165 port 45501 ssh2
Mar 9 02:49:34 62 sshd[1969]: Invalid user morita from 87.106.102.165
Mar 9 02:49:36 62 sshd[1969]: Failed password for invalid user morita from 87.106.102.165 port 45588 ssh2
Mar 9 02:49:37 62 sshd[3144]: Invalid user morita from 87.106.102.165
Mar 9 02:49:39 62 sshd[3144]: Failed password for invalid user morita from 87.106.102.165 port 45673 ssh2
Mar 9 02:49:40 62 sshd[3327]: Invalid user moritz from 87.106.102.165
Mar 9 02:49:42 62 sshd[3327]: Failed password for invalid user moritz from 87.106.102.165 port 45755 ssh2
Mar 9 02:49:43 62 sshd[3485]: Invalid user moritz from 87.106.102.165
Mar 9 02:49:45 62 sshd[3485]: Failed password for invalid user moritz from 87.106.102.165 port 45833 ssh2
Mar 9 02:49:46 62 sshd[3604]: Invalid user muie from 87.106.102.165




Ora volevo chiederti c'è un modo per inibire ip per in tot di tempo dopo che l'utente ha avuto Failed password per tre volte consecutive?


Grazie

[HexDEF6]

Quote:

Originariamente inviato da texerasmo

Ciao,
complimenti per la guida.
Diciamo che io sono uno che controlla spesso il log.
Volevo chiederti un cosa.
Ho un server linux virtuale su arua e costantemente ricevo tentativi di intrusione via ssh.

come questi Mar 9 02:49:16 62 sshd[32245]: Failed password for invalid user mona from 87.106.102.165 port 45015 ssh2
Mar 9 02:49:16 62 sshd[32387]: Invalid user mona from 87.106.102.165
Mar 9 02:49:19 62 sshd[32387]: Failed password for invalid user mona from 87.106.102.165 port 45097 ssh2
Mar 9 02:49:19 62 sshd[32544]: Invalid user monika from 87.106.102.165
Mar 9 02:49:22 62 sshd[32544]: Failed password for invalid user monika from 87.106.102.165 port 45179 ssh2
Mar 9 02:49:22 62 sshd[32680]: Invalid user monika from 87.106.102.165
Mar 9 02:49:24 62 sshd[32680]: Failed password for invalid user monika from 87.106.102.165 port 45257 ssh2
Mar 9 02:49:25 62 sshd[1428]: Invalid user monoko from 87.106.102.165
Mar 9 02:49:27 62 sshd[1428]: Failed password for invalid user monoko from 87.106.102.165 port 45337 ssh2
Mar 9 02:49:28 62 sshd[1626]: Invalid user moriko from 87.106.102.165
Mar 9 02:49:30 62 sshd[1626]: Failed password for invalid user moriko from 87.106.102.165 port 45419 ssh2
Mar 9 02:49:31 62 sshd[1814]: Invalid user moriko from 87.106.102.165
Mar 9 02:49:33 62 sshd[1814]: Failed password for invalid user moriko from 87.106.102.165 port 45501 ssh2
Mar 9 02:49:34 62 sshd[1969]: Invalid user morita from 87.106.102.165
Mar 9 02:49:36 62 sshd[1969]: Failed password for invalid user morita from 87.106.102.165 port 45588 ssh2
Mar 9 02:49:37 62 sshd[3144]: Invalid user morita from 87.106.102.165
Mar 9 02:49:39 62 sshd[3144]: Failed password for invalid user morita from 87.106.102.165 port 45673 ssh2
Mar 9 02:49:40 62 sshd[3327]: Invalid user moritz from 87.106.102.165
Mar 9 02:49:42 62 sshd[3327]: Failed password for invalid user moritz from 87.106.102.165 port 45755 ssh2
Mar 9 02:49:43 62 sshd[3485]: Invalid user moritz from 87.106.102.165
Mar 9 02:49:45 62 sshd[3485]: Failed password for invalid user moritz from 87.106.102.165 port 45833 ssh2
Mar 9 02:49:46 62 sshd[3604]: Invalid user muie from 87.106.102.165




Ora volevo chiederti c'è un modo per inibire ip per in tot di tempo dopo che l'utente ha avuto Failed password per tre volte consecutive?


Grazie

se le tue password sono "sicure" puoi fregartene... ma comunque, puoi dare un occhio a questo:
http://denyhosts.sourceforge.net/

Ciao

[Tapiocapioca]

Ciao a tutti! Ho un piccolo problema che a mio parere, da quello che ho letto, non avrete problemi ad aiutarmi a risolvere.
La mia connessione ad internet è nattata (Fastweb), avrei bisogno di rendere pubblica una porta in particolare, per la precisione la 12000. Non ho particolari esigenze di banda, quindi credo che un tutnnel ssh possa essere adeguato!
Fino a qua tutto ok, non avrei particolari problemi nell'implementare un tunnel verso un altro utente, il mio problema nasce nel momento in cui non debbo aprire la connessione verso un particolare utente. Mi servirebbe un indirizzo pubblico che faccia un forward verso il mio server e accetti connessioni da parte di chiunque!

Dopo svariate ricerche mi è parso di capire che potrei seguire 2 strade per ottenere questo:

1) Installare lo stack ipv6 ed avere un ip pubblico ipv6 perfettamente funzionante
2) Aprire un tutnnel ssh verso un server che mi fornisca un ip pubblico

Nel primo caso credo che la strada sia impraticabile dato che i vari client sarebbero tutti ipv4 e io non avrei la possibilità di far installare a loro ipv6, in quanto l'applicativo gira su una macchina linux con un processore powerpc abbastanza vecchio..

La seconda strada invece è sicuramente più percorribile in quanto su questa macchina linux gira nativamente ssh e opnvpn, ho trovato questo sito : http://www.red-pill.eu/freeunix.shtml che offre la possibilità di avere una shell gratuitamente. Teoricamente con questi mezzi dovrei poter fare quello che mi serve ma mi sono perso in un bicchiere d'acqua.. Qualcuno saprebbe aiutarmi???

[buglis]

fantastico howto, era poprio quello che cercavo.

ho un paio di dubbi però:

- le chiavi devo crearle pure sul server? Questo ho risolto, non server crearle.

- perchè dici di fare un collegamento root->root e non utente -> root? cioè non capisco la differenza, non è meglio loggarsi come utente e poi se necessario elevarsi a root?

- in altre guide ho visto che bisogna modificare pure il file ssh_config per utilizzare anche la pass, è necessario oppure basta seguire il tuo howto?

- come faccio ad aggiungere più chiavi pubbliche al file authorized_keys?

grazie
ciao

[e-Tip]

Una piccola aggiunta... io quando devo copiare la chiave sul server di destinazione invece di scp e cat >> utilizzo il comando ssh-copy-id user@host... mi risparmia un po di lavoro

[HexDEF6]

Ciao, per prima cosa mi scuso per il ritardo... ma ultimamente sono un "po" occupato!

Quote:

Originariamente inviato da buglis

fantastico howto, era poprio quello che cercavo.

ho un paio di dubbi però:

- le chiavi devo crearle pure sul server? Questo ho risolto, non server crearle.

- perchè dici di fare un collegamento root->root e non utente -> root? cioè non capisco la differenza, non è meglio loggarsi come utente e poi se necessario elevarsi a root?

e' questione di gusti/praticita'...
nel mio caso devo gestire tipo una decina di server...
supponiamo di fare un lavoro semplice semplice come aggiornarli (sono server debian).
se accedo direttamente al server come root posso usare un bel cssh e lanciare i comandi contemporaneamente su tutte le macchine... se prima di fare questo devo immettere 15 volte la pass da root delle singole macchine, divento matto.

conta che lancio il tutto dentro uno screen, e cosi so che in quella console ci girano tutte le cose da root che siano in locale o sui server. In questa maniera evito di fare cazzate (nel senso che in quella console non ci girano mezze cose da utente e mezze da root, ma solo da root... quindi non ti confondi con utenti vari... e ti assicuro che dopo 10 ore di lavoro e' facile prendere un # per un $ o viceversa )

Quote:

Originariamente inviato da buglis

- in altre guide ho visto che bisogna modificare pure il file ssh_config per utilizzare anche la pass, è necessario oppure basta seguire il tuo howto?

ssh_config e' lato client (da non confondere con sshd_config)... quindi se vuoi impostare dei comportamenti di default per tutti gli utenti, fallo li... comunque quello che scrivi nella linea di comando ha sempre la priorita'

per rispondere velocemente alla domanda: no non serve toccarlo!

Quote:

Originariamente inviato da buglis

- come faccio ad aggiungere più chiavi pubbliche al file authorized_keys?

vedi sotto (usando ssh-copy-id come dice e-Tip) o altrimenti con il cat della chiave pubblica e i due maggiore, vai ad accodare al file di fatto aggiungendo (e non sovrascrivendo come con il singolo maggiore) al file authorized_keys

Quote:

Originariamente inviato da buglis

grazie
ciao

prego

Quote:

Originariamente inviato da e-Tip

Una piccola aggiunta... io quando devo copiare la chiave sul server di destinazione invece di scp e cat >> utilizzo il comando ssh-copy-id user@host... mi risparmia un po di lavoro

Al tempo non lo conoscevo

Comunque ci sarebbero un po di cose da aggiungere all'howto (se ho tempo), tipo poter mettere delle impostazioni per user e la modalita' internal-sftp con chroot http://undeadly.org/cgi?action=artic...20080220110039

[e-Tip]

Quote:

Originariamente inviato da HexDEF6

Al tempo non lo conoscevo

ooops non mi ero accorto

[buglis]

Quote:

Originariamente inviato da HexDEF6

Ciao, per prima cosa mi scuso per il ritardo... ma ultimamente sono un "po" occupato!
....

Ciao, non ti preoccupare, ti ringrazio per la risposta sei stato gentilissimo e utilissimo!!

[HexDEF6]

ho aggiunto il modo per creare vpn con ssh

[matrix845]

Ciao ,

inaznitutto grazie per le tue preziose info .

In particolare per vpn e ssh , ottime info.

Il mio problema è che non devo creare vpn di tipo point2point tra due macchine , ma con N macchine ed 1 server .

In pratica devo far in modo che gli N client , passando per il server ( che ha IP pubblico) possono collegarsi direttamente .

Dovrei quindi adottare una vpn di tipo layer 2 / ethernet , avete qualche drita da darmi?

So che andrebbe inizializzato il dispositivo virtuale tap invece del tan , e per farlo , su ogni client va inserita nel file /etc/ssh/ssh_config la direttiva

Codice:

Tunnel ethernet

Sapete darmi qualche indicazione?

Ciao

Pierpaolo

[HexDEF6]

Quote:

Originariamente inviato da matrix845

Ciao ,

inaznitutto grazie per le tue preziose info .

In particolare per vpn e ssh , ottime info.

Il mio problema è che non devo creare vpn di tipo point2point tra due macchine , ma con N macchine ed 1 server .

In pratica devo far in modo che gli N client , passando per il server ( che ha IP pubblico) possono collegarsi direttamente .

Dovrei quindi adottare una vpn di tipo layer 2 / ethernet , avete qualche drita da darmi?

So che andrebbe inizializzato il dispositivo virtuale tap invece del tan , e per farlo , su ogni client va inserita nel file /etc/ssh/ssh_config la direttiva

Codice:

Tunnel ethernet

Sapete darmi qualche indicazione?

Ciao

Pierpaolo

Ciao...
io ti sconsiglio vivamente ssh per usarlo come VPN "seria"...
ti consiglierei di mettere su una vpn con openvpn, che per fare cose piu' "complicate" va decisamente meglio...
altrimenti per una vpn tipo hamachi, puoi provare ad usare http://www.ntop.org/n2n/ io mi ci sono trovato bene per fare qualche cavolata... comunque la cosa migliore resta openvpn!

[matrix845]

diciamo che opnevpn non mi fa impazzire.....

n2n l'ho provato ma non mi da una super impressione di stabilita!!!