# LOG.. Stanno cercando di entrare sul mio server?!?

## neryo

```
bash-2.05b# tail -f  /var/log/messages 

Apr 28 16:21:02 gentboox sshd[12946]: Invalid user isabel from 219.117.205.40

Apr 28 16:21:06 gentboox sshd[12951]: Invalid user juridic from 219.117.205.40

Apr 28 16:21:09 gentboox sshd[12956]: Invalid user nucleara from 219.117.205.40

Apr 28 16:21:12 gentboox sshd[12961]: Invalid user razvan from 219.117.205.40

Apr 28 16:21:15 gentboox sshd[12966]: Invalid user revista from 219.117.205.40

Apr 28 16:21:19 gentboox sshd[12972]: Invalid user statistica from 219.117.205.40

Apr 28 16:21:22 gentboox sshd[12977]: Invalid user bootcamp from 219.117.205.40

Apr 28 16:21:25 gentboox sshd[12982]: Invalid user alan from 219.117.205.40

Apr 28 16:21:28 gentboox sshd[12987]: Invalid user cisco from 219.117.205.40

Apr 28 16:21:31 gentboox sshd[12992]: Invalid user dave from 219.117.205.40

Apr 28 16:21:35 gentboox sshd[12997]: Invalid user gis from 219.117.205.40

Apr 28 16:21:38 gentboox sshd[13003]: Invalid user jeff from 219.117.205.40

Apr 28 16:21:41 gentboox sshd[13008]: Invalid user john from 219.117.205.40

Apr 28 16:21:44 gentboox sshd[13013]: Invalid user kevin from 219.117.205.40

Apr 28 16:21:47 gentboox sshd[13018]: Invalid user larry from 219.117.205.40

Apr 28 16:21:49 gentboox sshd[13025]: Invalid user smiley from 219.117.205.40

Apr 28 16:21:52 gentboox sshd[13030]: Invalid user software from 219.117.205.40

Apr 28 16:21:55 gentboox sshd[13035]: Invalid user steve from 219.117.205.40

Apr 28 16:21:58 gentboox sshd[13040]: Invalid user virgil from 219.117.205.40

Apr 28 16:22:02 gentboox sshd[13045]: Invalid user walt from 219.117.205.40

Apr 28 16:22:05 gentboox sshd[13050]: Invalid user ajiro from 219.117.205.40

Apr 28 16:22:08 gentboox sshd[13055]: Invalid user arasawa from 219.117.205.40

Apr 28 16:22:11 gentboox sshd[13060]: Invalid user asai from 219.117.205.40

Apr 28 16:22:14 gentboox sshd[13065]: Invalid user ayase from 219.117.205.40

Apr 28 16:22:17 gentboox sshd[13070]: Invalid user coupon from 219.117.205.40

Apr 28 16:22:20 gentboox sshd[13075]: Invalid user daikanyama from 219.117.205.40

Apr 28 16:22:23 gentboox sshd[13082]: Invalid user ebata from 219.117.205.40

Apr 28 16:22:29 gentboox sshd[13087]: Invalid user hayatsu from 219.117.205.40

Apr 28 16:22:32 gentboox sshd[13092]: Invalid user inada from 219.117.205.40

Apr 28 16:22:35 gentboox sshd[13097]: Invalid user isamu from 219.117.205.40

Apr 28 16:22:38 gentboox sshd[13102]: Invalid user kido from 219.117.205.40

Apr 28 16:22:42 gentboox sshd[13107]: Invalid user kimura from 219.117.205.40

Apr 28 16:22:45 gentboox sshd[13112]: Invalid user kitamura from 219.117.205.40

Apr 28 16:22:48 gentboox sshd[13117]: Invalid user kuroiwa from 219.117.205.40

Apr 28 16:22:51 gentboox sshd[13122]: Invalid user maeno from 219.117.205.40

Apr 28 16:22:54 gentboox sshd[13127]: Invalid user nishi from 219.117.205.40

Apr 28 16:22:57 gentboox sshd[13132]: Invalid user nishiyama from 219.117.205.40

Apr 28 16:23:01 gentboox sshd[13137]: Invalid user oshima from 219.117.205.40

Apr 28 16:23:04 gentboox sshd[13143]: Invalid user present from 219.117.205.40

Apr 28 16:23:08 gentboox sshd[13150]: Invalid user press from 219.117.205.40

Apr 28 16:23:11 gentboox sshd[13155]: Invalid user rapi from 219.117.205.40
```

Queso e' il mio log, a quanto pare c'e' qualcosa che sta cercando di tentare di entrare sul mio servizio sshd... A parte sconnettere il modem come mi devo comportare?!? lascio stare???

Questa e' la scansione del host in questione con 

```
# nmap -sT -PT  219.117.205.40

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-04-28 16:22 Local time zone must be set--see zic manual page

WARNING:  We could not determine for sure which interface to use, so we are guessing 127.0.0.1 .  If this is wrong, use -S <my_IP_address>.

Interesting ports on 219.117.205.40.user.rb.il24.net (219.117.205.40):

(The 1641 ports scanned but not shown below are in state: closed)

PORT      STATE    SERVICE

21/tcp    open     ftp

22/tcp    open     ssh

23/tcp    open     telnet

25/tcp    open     smtp

53/tcp    open     domain

80/tcp    open     http

110/tcp   open     pop3

111/tcp   open     rpcbind

113/tcp   open     auth

135/tcp   filtered msrpc

139/tcp   open     netbios-ssn

443/tcp   open     https

515/tcp   open     printer

631/tcp   open     ipp

1443/tcp  filtered ies-lm

1720/tcp  filtered H.323/Q.931

1987/tcp  open     tr-rsrb-p1

2401/tcp  open     cvspserver

3306/tcp  open     mysql

7000/tcp  open     afs3-fileserver

10000/tcp open     snet-sensor-mgmt

22273/tcp open     wnn6

Nmap run completed -- 1 IP address (1 host up) scanned in 91.633 seconds
```

GRazie ciao..

----------

## pistodj

La cosa che su due piedi ti posso consigliare è di usare una password di almeno 8 caratteri oltre che afanumerica...

cmq queglia attacchi solitamente sono frequenti anche nei miei server e sono automatici (lanciati da script)di conseguenza provano gli user più classici...

verifica in'oltre che il tuo firewall sia ben configurato e che ti sia veramente indispensabile raggiungerlo da qualsiasi ip... altrimenti ti conviene assicurare l'entrata di quel servizio solo da un determinato ip.

cmq prova a fare una ricerca nel forum dovresti trovare già altro materiale che ti potrà essere d'aiuto!!

----------

## neryo

 *pistodj wrote:*   

> La cosa che su due piedi ti posso consigliare è di usare una password di almeno 8 caratteri oltre che afanumerica...
> 
> cmq queglia attacchi solitamente sono frequenti anche nei miei server e sono automatici (lanciati da script)di conseguenza provano gli user più classici...
> 
> verifica in'oltre che il tuo firewall sia ben configurato e che ti sia veramente indispensabile raggiungerlo da qualsiasi ip... altrimenti ti conviene assicurare l'entrata di quel servizio solo da un determinato ip.
> ...

 

Grazie della risposta.. si la password e' piu di 8 caratteri ed e' composta da caratteri e numeri.. poi l'accesso a sshd e' solo per utenti non root.. cmq si a me piacerebbe capire da dove viene questo attacco.. quindi credo che con traceroute posso vederlo! Cmq non posso restringere gli ip dall'asterno purtroppo.. mi capita spesso di accedere tramite ip dinamici da casa di miei amici..  :Rolling Eyes: 

----------

## xchris

inizia con il mettere ssh su porte non standard e magari utilizza una delle verie implementazioni di knock-knock!

ciao

----------

## ataraxic

...e perchè non "tagliare la testa al toro" disabilitando l'autenticazione via password e abilitare un'autenticazione con chiave privata?!  :Wink: 

Anche io trovo spesso nei log questi tentativi, ma non mi preoccupano più di tanto visto che vengono chiusi in automatico da sshd nel momento che l'autenticazione avviene via user-password. Io uso una chiave privata che porto sempre con me su una pendrive usb e mi sento "piuttosto" tranquillo!!

Trovi tutti i dettagli nella guida alla sicurezza su gentoo.it

----------

## neryo

 *xchris wrote:*   

> inizia con il mettere ssh su porte non standard e magari utilizza una delle verie implementazioni di knock-knock!
> 
> ciao

 

mh ma non sarebbe un attimo trovare il servizio interrogando in loop tutte le porte?  :Rolling Eyes: 

----------

## xchris

si e no...

questi attacchi automatizzati non scannano tutte le porte...

per questioni di economia di tempo scannano le porte di default.

poi con knock-knock la tua porta risulta chiusa  :Wink: 

ciao

----------

## neryo

 *xchris wrote:*   

> si e no...
> 
> questi attacchi automatizzati non scannano tutte le porte...
> 
> per questioni di economia di tempo scannano le porte di default.
> ...

 

Ok thanks.. cmq sempre una sicurezza in piu da aggiungere...  :Wink: 

----------

## Cazzantonio

intanto, vista l'insistenza, metterei 219.117.205.40 in /etc/hosts.deny per non avere più seccature di questo tipo...

se vuoi ti posso postare la mia lista di /etc/hosts.deny che si è arricchita nel tempo di tutti quelli che ho beccato nei miei log (e che non ci dovevano essere  :Wink:  )

----------

## z3n0

a questo punto xkè non fare una mega lista e renderla disponibile a tutti?  :Wink: 

----------

## neryo

 *z3n0 wrote:*   

> a questo punto xkè non fare una mega lista e renderla disponibile a tutti? 

 

Non sarebbe una brutta idea.. 

@Cazzantonio si postala cosi puo essere utile a tutti....

----------

## .:chrome:.

 *Cazzantonio wrote:*   

> intanto, vista l'insistenza, metterei 219.117.205.40 in /etc/hosts.deny per non avere più seccature di questo tipo...
> 
> se vuoi ti posso postare la mia lista di /etc/hosts.deny che si è arricchita nel tempo di tutti quelli che ho beccato nei miei log (e che non ci dovevano essere  )

 

infatti... penso sia un po' più intelligente che filtrare con il firewall...

però se fai così, dato che questi attacchi sono abbastanza frequenti, diventi matto a inserire sempre le voci in hosts.deny (oltretutto non devi inserire l'host, ma il blocco CIDR)

se puoi dire con certezza che le connessioni avverranno solo da determinati indirizzi IP, piuttosto metti quella classe di indirizzi in hosts.allow, che è più semplice  :Wink: 

per il fatto di cambiare porta, personalmente te lo sconsiglio: è solo una leggenda il fatto che ti metta al sicuro perché quei sistemi fanno lo scan di tutte le porte, quindi se anche ti sposti, ti trovano ugualmente.

per il fatto di usare l'autenticazione solo con chiave... non è proprio una cosa bellissima, perché quel giorno che non hai a disposizione la chiave privata (magari non sei sul tuo pc) non puoi loggarti, e se ti fregano la chiave privata ti possono entrare nel tuo sistema dalla porta principale

----------

## hellraiser

 *z3n0 wrote:*   

> a questo punto xkè non fare una mega lista e renderla disponibile a tutti? 

 

Violazione della Privacy  :Surprised: 

----------

## neryo

 *k.gothmog wrote:*   

> 
> 
> per il fatto di cambiare porta, personalmente te lo sconsiglio: è solo una leggenda il fatto che ti metta al sicuro perché quei sistemi fanno lo scan di tutte le porte, quindi se anche ti sposti, ti trovano ugualmente.

 

e' quello che ho pensato anch'io...  :Wink: 

 *k.gothmog wrote:*   

> 
> 
> per il fatto di usare l'autenticazione solo con chiave... non è proprio una cosa bellissima, perché quel giorno che non hai a disposizione la chiave privata (magari non sei sul tuo pc) non puoi loggarti, e se ti fregano la chiave privata ti possono entrare nel tuo sistema dalla porta principale

 

concordo.. 

Grazie.

----------

## Taglia

Così a vedere dal log non sembra certo un tentativo molto furbo di passare inosservati ... Sarà un dictionary attack ... ma se uno usa una password alfanumerica totalmente random secondo me ha praticamente azzerato il rischio di soccombere a questo tipo di attacco! Oppure utilizzi una concatenazione di parole che hanno significato solo per te e sei a posto.

----------

## neryo

 *Taglia wrote:*   

> Così a vedere dal log non sembra certo un tentativo molto furbo di passare inosservati ... Sarà un dictionary attack ... ma se uno usa una password alfanumerica totalmente random secondo me ha praticamente azzerato il rischio di soccombere a questo tipo di attacco! Oppure utilizzi una concatenazione di parole che hanno significato solo per te e sei a posto.

 

Si infatti, e' quello che ho pensato anch'io.. poi cmq ammesso che riesce a trovare l'utente e la password cosa mooolto improbabile ..poi?? Cmq ha accesso tramite ssh come utente normale.. potrebbe inviare dati all'esterno come ad esempio la mia pass di root quando la digito?! anche se cmq io tutte le volte che mi metto davanti alla macchina controllo sempre i log e faccio sempre dei last e who.. quindi penso che in ogni caso non puo fare molto... or not?

----------

## .:chrome:.

 *neryo wrote:*   

> Cmq ha accesso tramite ssh come utente normale.. potrebbe inviare dati all'esterno come ad esempio la mia pass di root quando la digito?!

 

assolutamente no. come potrebbe fare?

per installare un keylogger devi essere root, quindi un utente normale non può leggere la password mentre la digiti

----------

## otaku

 *k.gothmog wrote:*   

> per il fatto di usare l'autenticazione solo con chiave... non è proprio una cosa bellissima, perché quel giorno che non hai a disposizione la chiave privata (magari non sei sul tuo pc) non puoi loggarti, e se ti fregano la chiave privata ti possono entrare nel tuo sistema dalla porta principale

 

è un po' come perdere le chiavi di casa, almeno nella mia ignoranza me lo sono immaginato così  :Wink:  comunque la cosa mi sollazza, mi informerò...

----------

## neryo

 *k.gothmog wrote:*   

>  *neryo wrote:*   Cmq ha accesso tramite ssh come utente normale.. potrebbe inviare dati all'esterno come ad esempio la mia pass di root quando la digito?! 
> 
> assolutamente no. come potrebbe fare?
> 
> per installare un keylogger devi essere root, quindi un utente normale non può leggere la password mentre la digiti

 

appunto era solo per avere la conferma.. e' quello che pensavo anch'io.. quindi direi che sono abbastanza sicuro, daltronde ho solo sshd come servizio attivo all'esterno!

----------

## .:chrome:.

 *otaku wrote:*   

> è un po' come perdere le chiavi di casa

 

beh... metafora carina  :Smile: 

personalmente una soluzione che mi piace molto e che adotto spesso è usare sempre chiavi SSH, e permettere il login con password (per quando non ho con me la chiave privata o in caso di smarrimento) solo da pochi host (solo host. non reti) estremamente fidati.

nel caso dovessi perdere o mi dovessero rubare la chiave privata, quella è comuqnue protetta da passowrd. non è una gran protezione, perché con un po' di bruteforce si può trovare la password, e quindi cerco di mettere password molto complesse...

è il massimo che mi è venuto in mente

----------

## Little Cash

Al di la di tutto, ti consiglio di mailare l'admin di quella box, al 90% e' una hacked-box e il sysadmin neanche sa di essere stato bucato

----------

## xchris

@k.gothmog

il fatto di spostare la porta dalla 22 ad una + alta e' indiscutibilmente un vantaggio.

Al 99% dei casi la macchina non viene scannata sulle 2^16 porte.

E' piu' probabile che scannino solo un determinato set di porte e poi si spostino su altre macchine.

..senza contare il fatto che gia' cosi' tagli una buona fetta di lamerozzi...

...e senza contare che con un firewall ben scritto lo scan della tua macchina su 2^16 porte puo' risultare estremamente lento!

Gia' questi 2 aspetti pongono a favore di questo piccolo e semplice accorgimento che poco costa.

Ribadisco che la miglior cosa e' far figurare la porta chiusa!

Anche sulla 22 se si vuole...

E la si apre da remoto solo quando serve....

EDIT: da verifiche effettuate su alcuni firewall con IP pub... nel giro di un anno ho ricevuto molte meno visite su ssh... dopo aver spostato la porta.

----------

## .:chrome:.

 *xchris wrote:*   

> ...e senza contare che con un firewall ben scritto lo scan della tua macchina su 2^16 porte puo' risultare estremamente lento!

 

falso. il firewall ti permette di aprire o chiudere una porta, nulla di più.

quello che tu dici è in parte vero: fare in modo che il server SSH attenda, per esempio, due secondi tra un tentativo di login ed un altro, aiuta ad arginare questo fatto... però è una direttiva del server SSH, non del firewall.

ma poi... detto tra noi... se io imposto una password per benino, con numeri, caratteri, spazi e simboli, e metto almeno 15 caratteri, quante possibilità ci sono che il sistema venga violato? nessuna, perché quegli attacchi derivano da scrito che girano automaticamente e tentano password standard, o comunque abbastanza semplici. morale della favola... che facciano pure, se vogliono. tanto sono solo vili tentativi destinati a cadere nel vuoto

----------

## neryo

 *k.gothmog wrote:*   

> 
> 
> ma poi... detto tra noi... se io imposto una password per benino, con numeri, caratteri, spazi e simboli, e metto almeno 15 caratteri, quante possibilità ci sono che il sistema venga violato? nessuna, perché quegli attacchi derivano da scrito che girano automaticamente e tentano password standard, o comunque abbastanza semplici. morale della favola... che facciano pure, se vogliono. tanto sono solo vili tentativi destinati a cadere nel vuoto

 

Infatti, i tentativi sono continuati per circa 15 min.. poi ha cambiato idea, non ha beccato nemmeno lo user..  :Rolling Eyes: 

----------

## mrfree

 *k.gothmog wrote:*   

> se io imposto una password per benino, con numeri, caratteri, spazi e simboli, e metto almeno 15 caratteri, quante possibilità ci sono che il sistema venga violato?

 

Quoto quanto gia suggerito da ataraxic, usa l'autenticazione basata su chiavi piuttosto che una semplice password anche se comunque il tuo ragionamento non fa' una piega nel senso che comunque è difficile forzare una "buona" password ma in questi casi mi piace essere paranoico  :Smile: 

----------

## .:chrome:.

 *mrfree wrote:*   

> Quoto quanto gia suggerito da ataraxic, usa l'autenticazione basata su chiavi piuttosto che una semplice password anche se comunque il tuo ragionamento non fa' una piega nel senso che comunque è difficile forzare una "buona" password ma in questi casi mi piace essere paranoico 

 

e io ti ripeto la domanda che ho fatto a lui: se perdi la chiave privata che fai? sei chiuso fuori?

e se ti fregano la chiave privata?

e se un giorno tenti di collegarti da una macchina che magari non è la tua, e quindi non hai con te la tua chiave privata?

io penso che permettere l'autenticazione solo con chiavi sia vantaggioso, da un lato... ma guardando bene porta anche molti problemi e potenziali pericoli

----------

## xchris

 *k.gothmog wrote:*   

> 
> 
> falso. il firewall ti permette di aprire o chiudere una porta, nulla di più.
> 
> 

 

vero fino a un certo punto.

Con firewall intendo il sistema atto a bloccare determinati accessi (e non il puro e singolo script)

Gia' l'utilizzo di DROP anziche di REJECT aiuta...

E non a caso nmap ha diverse opzioni di timing proprio perche' uno scan lento e' + affidabile di uno veloce.

Non menzioniamo neanche filtri attivi... che tramite dei PSD potrebbero del tutto negare l'accesso ad un host per un determinato tempo.

Di sistemi attivi ce ne sono molti e anche facilmente realizzabili-

 *k.gothmog wrote:*   

> 
> 
> quello che tu dici è in parte vero: fare in modo che il server SSH attenda, per esempio, due secondi tra un tentativo di login ed un altro, aiuta ad arginare questo fatto... però è una direttiva del server SSH, non del firewall.
> 
> 

 

mai detto questo...

 *k.gothmog wrote:*   

> 
> 
> ma poi... detto tra noi... se io imposto una password per benino, con numeri, caratteri, spazi e simboli, e metto almeno 15 caratteri, quante possibilità ci sono che il sistema venga violato? nessuna, perché quegli attacchi derivano da scrito che girano automaticamente e tentano password standard, o comunque abbastanza semplici. morale della favola... che facciano pure, se vogliono. tanto sono solo vili tentativi destinati a cadere nel vuoto

 

si certo... se il tuo sistema non e' vulnerabile...

ma purtroppo non sempre gli update arrivano in tempo... e in questo caso sia le tue difese con password criptiche che con chiavi cadono miseramente.

Cmq ora si sfiora la paranoia...

Secondo me alzare la porta ti taglia via gia' il 90% dei tentativi (se non +).

Ma paranoia per paranoia penso che i vari knock-knock protocol siano i migliori.

(di sicuro stroncano questi dumb scanner)

----------

## randomaze

 *xchris wrote:*   

> Secondo me alzare la porta ti taglia via gia' il 90% dei tentativi (se non +).
> 
> Ma paranoia per paranoia penso che i vari knock-knock protocol siano i migliori.
> 
> (di sicuro stroncano questi dumb scanner)

 

Quoto.

----------

## neryo

 *xchris wrote:*   

> 
> 
> Cmq ora si sfiora la paranoia...
> 
> Secondo me alzare la porta ti taglia via gia' il 90% dei tentativi (se non +).
> ...

 

Ho cambiato la porta..  :Razz: 

----------

## xchris

 *k.gothmog wrote:*   

> 
> 
> e io ti ripeto la domanda che ho fatto a lui: se perdi la chiave privata che fai? sei chiuso fuori?
> 
> e se ti fregano la chiave privata?

 

bhe se la proteggi da passprhase non e' la fine del mondo....

hai il tempo per cambiarla...

ciao

EDIT: dimenticavo questa... : iptables -A INPUT p TCP --syn -m limit --limit N/second -j ACCEPT

----------

## .:chrome:.

 *xchris wrote:*   

>  *k.gothmog wrote:*   
> 
> e io ti ripeto la domanda che ho fatto a lui: se perdi la chiave privata che fai? sei chiuso fuori?
> 
> e se ti fregano la chiave privata? 
> ...

 

se ti fregano la chiave privata non c'è molto da cambiare  :Sad:  e può essere violata con bruteforce

la regola che dici te sarebbe disastrosa: rallenta l'accettazione dei pacchetti non i tentativi di connessione, con il risultato di rallentare mostruosamente ssh, scp, sftp, e rsync

----------

## Cazzantonio

 *hellraiser wrote:*   

>  *z3n0 wrote:*   a questo punto xkè non fare una mega lista e renderla disponibile a tutti?  
> 
> Violazione della Privacy 

 

E' vero... non ci avevo pensato ma assomiglierebbe troppo ad una gogna pubblica....  :Smile: 

----------

## xchris

 *k.gothmog wrote:*   

> 
> 
> se ti fregano la chiave privata non c'è molto da cambiare  e può essere violata con bruteforce
> 
> 

 

si va bhe.... mi auguro che te ne accorga in tempo  :Wink: 

basta un tentativo e un macchina firewall ben configurata ti avverte di un accesso ssh non desiderato.

Se si ha poi l'accortezza di tenerla du usb stick e usarla solo nel momento giusto....

 *k.gothmog wrote:*   

> 
> 
> la regola che dici te sarebbe disastrosa: rallenta l'accettazione dei pacchetti non i tentativi di connessione, con il risultato di rallentare mostruosamente ssh, scp, sftp, e rsync

 

quello era un esempio con volutamente specificato N per dire che e' da adattare al caso specifico!

E di sicuro riscrivendola meglio i tuoi scan li rallenta...

Non voleva essere "la regola da usare" ma un esempio per limitare il rate....

disastrosa? ma se no ho scritto neanche il valore... e per quanto mi riguarda poteva pur essere /minute...

va bhe... no comment!

----------

## gutter

 *xchris wrote:*   

> 
> 
> Ma paranoia per paranoia penso che i vari knock-knock protocol siano i migliori.
> 
> (di sicuro stroncano questi dumb scanner)

 

Quoto l'idea è davvero interessante.

----------

## Cazzantonio

Le considerazioni oggettive da fare sono solo due:

1) se uno vuole entrarti nel pc per forza ed è il più bravo del mondo allora ci sono buone possibilità che, dato un tempo sufficiente, riesca ad entrarti

2) usando un minimo di sicurezza se uno non cerca specificatamente di entrare nel tuo pc allora non ci entrerà mai (non si indovinano le password a caso...)

Tutto il resto è pura speculazione filosofica  :Wink: 

In ogni caso la parte più importante della sicurezza è la gestione dei log, ovvero avere di programmi che fanno periodici scan dei log per vedere cosa è successo di interessante... altrimenti puoi avere il sistema più sicuro del mondo ma non saprai mai se è stato bucato o meno... quindi indipendentemente dalla sicurezza quello che è importante è guardare i log  :Wink: 

----------

## mrfree

 *k.gothmog wrote:*   

> e io ti ripeto la domanda che ho fatto a lui: se perdi la chiave privata che fai? sei chiuso fuori?

 

bhe si per il tempo necessario a cambiarla ma la stessa cosa accade se dimentichi la password

 *k.gothmog wrote:*   

> e se ti fregano la chiave privata?

 

ovviamente il rischio c'è ma almeno se protetta da passphrase il simpatico "ladro" dovrà spendere un po' di tempo e risorse computazionali per forzarla  :Wink:  mentre se lo stesso viene a conoscenza della mia password (keylogger, spizzamento smaliziato, ...) accede al sistema più facilmente  :Wink: 

 *k.gothmog wrote:*   

> e se un giorno tenti di collegarti da una macchina che magari non è la tua, e quindi non hai con te la tua chiave privata?

 

Bhe questo è vero ma lo stesso discorso vale anche se filtri le connessioni per renderle possibili solo da un particolare indirizzo IP

 *k.gothmog wrote:*   

> io penso che permettere l'autenticazione solo con chiavi sia vantaggioso, da un lato... ma guardando bene porta anche molti problemi e potenziali pericoli

 

E' ovvio, in genere ogni approccio ha dei PRO e dei CONTRO (e questo non vale solo nell'ambito della sicurezza informatica) non credo esista una soluzione ottima e sicura in assoluto, ma diverse soluzioni mediamente buone per un particolare dominio applicativo; imho la bravura di un buon amministratore di rete sta proprio in questo, non credi?  :Smile: 

----------

## mrfree

 *Cazzantonio wrote:*   

> quindi indipendentemente dalla sicurezza quello che è importante è guardare i log

 

Ottimo consiglio, anzi a tal proposito si potrebbe utilizzare prelude (presente nel portage) che ha un sensore dedicato proprio a questo.

----------

## .:chrome:.

 *mrfree wrote:*   

>  *k.gothmog wrote:*   e se ti fregano la chiave privata? 
> 
> ovviamente il rischio c'è ma almeno se protetta da passphrase il simpatico "ladro" dovrà spendere un po' di tempo e risorse computazionali per forzarla 

 

ne sei realmente convinto? il file shadow è stato introdotto perché, una volta noti gli hash, il calcolo delle password è quasi immediato

 *k.gothmog wrote:*   

> e se un giorno tenti di collegarti da una macchina che magari non è la tua, e quindi non hai con te la tua chiave privata?

 

Bhe questo è vero ma lo stesso discorso vale anche se filtri le connessioni per renderle possibili solo da un particolare indirizzo IP[/quote]

l'idea di lasciare l'accesso da un particolare indirizzo IP era per avere una macchina "trusted" cui potersi appoggiare sempre, in caso di necessità. se no che senso avrebbe?

----------

## mrfree

 *k.gothmog wrote:*   

> ne sei realmente convinto? il file shadow è stato introdotto perché, una volta noti gli hash, il calcolo delle password è quasi immediato

 

Ti ringrazio per la precisazione ma ho scritto "un po" di tempo non un emormità... anche 1 sec è maggiore di 0 sec (nel caso della password non è necessario forzare nulla) senza considerare i tempi di "attrezzaggio" (come si direbbe in ambito industriale) almeno che non si possa fare con un calcolo a mente (al max utilizzando le dita delle mani come registri binari)  :Laughing: 

 *k.gothmog wrote:*   

> l'idea di lasciare l'accesso da un particolare indirizzo IP era per avere una macchina "trusted" cui potersi appoggiare sempre, in caso di necessità. se no che senso avrebbe?

 

Nel mio caso, ad esempio, non avendo la necessità di collegarmi da remoto da più macchine distinte, preferisco consentire l'accesso solo alla mia postazione remota e poi comunque in caso di problemi vari ho sempre la possibiltà di far intervenire qualcuno al posto mio in locale ... ribadisco che la bontà di una soluzione è sempre relativa alle tue reali necessità

----------

## gutter

 *k.gothmog wrote:*   

> 
> 
> ne sei realmente convinto? il file shadow è stato introdotto perché, una volta noti gli hash, il calcolo delle password è quasi immediato
> 
> 

 

Non sono molto convinto del "quasi"  :Confused: 

----------

## Truzzone

 *mrfree wrote:*   

>  *Cazzantonio wrote:*   quindi indipendentemente dalla sicurezza quello che è importante è guardare i log 
> 
> Ottimo consiglio, anzi a tal proposito si potrebbe utilizzare prelude (presente nel portage) che ha un sensore dedicato proprio a questo.

 

Esistono altri modi/sistemi/programmi per controllare i vari log o file.

È possibile fare una lista con quello da controllare periodicamente?  :Question: 

Ciao by Truzzone  :Smile: 

----------

## neryo

 *gutter wrote:*   

>  *k.gothmog wrote:*   
> 
> ne sei realmente convinto? il file shadow è stato introdotto perché, una volta noti gli hash, il calcolo delle password è quasi immediato
> 
>  
> ...

 

gli algoritmi di hash sono unidirezionali mica per nulla.. non credo sia poi cosi automatico condiderando che in un file da 200 caratteri basta cambiare una lettere e i 2 digest sono completamente differenti.  :Wink: 

----------

## gutter

 *neryo wrote:*   

> 
> 
> gli algoritmi di hash sono unidirezionali mica per nulla.. non credo sia poi cosi automatico condiderando che in un file da 200 caratteri basta cambiare una lettere e i 2 digest sono completamente differenti. 

 

Esattamente  :Wink: 

----------

## .:chrome:.

 *neryo wrote:*   

> gli algoritmi di hash sono unidirezionali mica per nulla.. non credo sia poi cosi automatico condiderando che in un file da 200 caratteri basta cambiare una lettere e i 2 digest sono completamente differenti. 

 

guarda... io non l'ho mai provato, quindi non ho idea dei tempi, ma mi hanno parlato di un "john the reaper" (mi pare fosse questo il nome) cui dai in pasto l'hash preso da shadow, ed in *poco* tempo era in grado di restituirti la password che l'ha generato.

come ho detto, io non l'ho mai provato, quindi ho riportato la notizia come me l'hanno venduta. tuttavia non mi pare neanke una cosa tanto strana: non molto tempo fa, sono riusciti a provocare delle collisioni in MD5, e pure con relativa facilità, e per SHA-1 la teoria è già stata stesa tutta e si sta lavorando all'algoritmo di generazione...

----------

## Sasdo

 *k.gothmog wrote:*   

> 
> 
> guarda... io non l'ho mai provato, quindi non ho idea dei tempi, ma mi hanno parlato di un "john the reaper" (mi pare fosse questo il nome) cui dai in pasto l'hash preso da shadow, ed in *poco* tempo era in grado di restituirti la password che l'ha generato.
> 
> 

 

Uhm... a quanto ne so io quel programmillo (che è anche in portage è un "cercatore" di password... più o meno funziona così:

tu gli dai il range di password (alfanumeriche, solo numeri, solo lettere, con lettere maiuscole, caratteri speciali etcc..) e lui fa un brute force facendo questo giochino:

calcolo md5 (o di un algoritmo hash a una sola via) della password.

se quel che salta fuori è presente (per esempio) in /etc/shadow, ecco che ti ha sgamato la pwd.

Ciao!

il Sasdo

p.s.

Si vede che sono stato attento all'ultima lezione di Sistemi Operativi? =)

EDIT: sto provando ora johntheripper. Non funziona esattamente come avevo descritto prima (nel senso che non gli passi i parametri delle password, ma si arrangia lui) e ancora non mi ha trovato le mie 2 pwd (di cui una è banalissima).. vedremo... =)

----------

## Cazzantonio

 *Truzzone wrote:*   

> Esistono altri modi/sistemi/programmi per controllare i vari log o file.  

 

Logwatch e logsentry sono in portage... comunque si può fare anche con script fatti a mano che (a seconda di quello che ti serve) possono essere più pratici (basta un grep e una lista di parole chiave da cercare...)  :Wink: 

----------

## neryo

 *k.gothmog wrote:*   

>  *neryo wrote:*   gli algoritmi di hash sono unidirezionali mica per nulla.. non credo sia poi cosi automatico condiderando che in un file da 200 caratteri basta cambiare una lettere e i 2 digest sono completamente differenti.  
> 
> guarda... io non l'ho mai provato, quindi non ho idea dei tempi, ma mi hanno parlato di un "john the reaper" (mi pare fosse questo il nome) cui dai in pasto l'hash preso da shadow, ed in *poco* tempo era in grado di restituirti la password che l'ha generato.
> 
> come ho detto, io non l'ho mai provato, quindi ho riportato la notizia come me l'hanno venduta. tuttavia non mi pare neanke una cosa tanto strana: non molto tempo fa, sono riusciti a provocare delle collisioni in MD5, e pure con relativa facilità, e per SHA-1 la teoria è già stata stesa tutta e si sta lavorando all'algoritmo di generazione...

 

Si ok, trovare collisioni sono daccordo ovvero trovare che esistono ad esempio 2 stringhe che date in pasto a md5sum ti danno lo stesso digest.. ma questo non comporta che tu avendo il digest riesci a trovare la stringa, cosa che devi ottenere se vuoi ottenere un ipotetica password di root dallo shadow..

dai un'occhiata qui:

 *Quote:*   

> Il 'secure hash algorithm', SHA-1, è un schema di autenticazione utilizzato in diversi ambiti, dalle firme digitali per la cifratura SSL dei browser al PGP. Pare sia stato rotto.
> 
> L'affermazione arriva da un nome molto noto della sicurezza e della crittografia, Bruce Schneier. Sul suo sito riporta di un gruppo cinese dell'Unversità di Shandong che avrebbe scritto un articolo in cui si descrive un'attacco portato con successo.
> 
> Al momento l'articolo non è disponibile al di fuori dei circoli specializzati, dunque niente panico. In attesa di verifica, ricordiamo che gli stessi ricercatori in precedenza erano riusciti a rompere l'algoritmo di hashing MD5. E nel suo blog Schneier sembra piuttosto pessimista: "A questo punto usare SHA-1 per le firme digitale diventa rischioso".
> ...

 

http://www.cwi.it/showPage.php?template=articoli&id=12408

ciao

----------

## Taglia

Fanno molto prima a fare un po'di social engineering, mandandoti in casa una biondona procace che si fa dare la password con altri mezzi  :Laughing: 

----------

## Cazzantonio

 *Taglia wrote:*   

> Fanno molto prima a fare un po'di social engineering, mandandoti in casa una biondona procace che si fa dare la password con altri mezzi 

 

Lo considero uno scambio vantaggioso  :Wink:   :Laughing: 

----------

## fedeliallalinea

 *k.gothmog wrote:*   

> ma mi hanno parlato di un "john the reaper" (mi pare fosse questo il nome) cui dai in pasto l'hash preso da shadow, ed in *poco* tempo era in grado di restituirti la password che l'ha generato.

 

Si ma questo fa semplicemente un brute force ottimizzato perche' si basa su vocabolari ma basta che hai un password come si deve e ti assicuro che non e' cosi' veloce a trovare la password. Io ho provato su la mia password di root ed in una settimana non aveva cavato ancora nulla.

----------

## randomaze

 *fedeliallalinea wrote:*   

>  *k.gothmog wrote:*   ma mi hanno parlato di un "john the reaper" (mi pare fosse questo il nome) cui dai in pasto l'hash preso da shadow, ed in *poco* tempo era in grado di restituirti la password che l'ha generato. 
> 
> Si ma questo fa semplicemente un brute force ottimizzato perche' si basa su vocabolari ma basta che hai un password come si deve e ti assicuro che non e' cosi' veloce a trovare la password. Io ho provato su la mia password di root ed in una settimana non aveva cavato ancora nulla.

 

Parlate di questo? A giudicare da una letta rapida della prima pagina non solo si basa su vocabolario ma quello sarebbe da comprare a parte  :Rolling Eyes: 

----------

## fedeliallalinea

 *randomaze wrote:*   

> Parlate di questo? A giudicare da una letta rapida della prima pagina non solo si basa su vocabolario ma quello sarebbe da comprare a parte 

 

Si esattamente quello

----------

## TwoMinds

...john funziona eccome... su pass fino a 6 caratteri può essere detto accettabilmente veloce... beh oltre 6 caratteri inizia a essere piuttosto lento... ma basta avere pazienza... molta pazienza... e le trova tutte... l'ho personalmente provato con passwd di OSF... il mio shadow su linux... un SAM di un win2k... risultati eccellenti considerando che in media gli utOnti non cambiano password spesso... anzi mai... john lanciato come cron è un buon modo per andare a pizzicare quegli utenti che usano weak password (che fantasia che hanno tutti: date numeri personaggi famosi ragazze mogli amanti  :Very Happy: ) lasciando un'opportunità in più a chi vuole avere accesso alla macchina...

...ops... sono andato OT... perdonatemi...

----------

## gutter

 *Taglia wrote:*   

> Fanno molto prima a fare un po'di social engineering, mandandoti in casa una biondona procace che si fa dare la password con altri mezzi 

 

Se si ferma un paio di mesi a casa mia posso anche regalarle il portatile  :Wink: 

----------

## .:chrome:.

riesumo questo thread per portare una lieta notizia per tutti quelli che non vogliono/possono impedire l'accesso a SSH con password e che come neryo sono sommersi dai log dei tentativi falliti.

finalmente è entrato in portage (anche se solo in ~x86) denyhosts

lo sto usando con soddisfazione da un po' di tempo. pare funzioni bene.

buon divertimento

----------

## neryo

 *k.gothmog wrote:*   

> riesumo questo thread per portare una lieta notizia per tutti quelli che non vogliono/possono impedire l'accesso a SSH con password e che come neryo sono sommersi dai log dei tentativi falliti.
> 
> 

 

fortunatamente da quando ho cambiato porta non ricevo piu' tentativi di connessione sul mio gataway... cmq grazie per la scegnalazione k.gothmog  appena ho tempo lo provo ...  :Wink: 

EDIT:  emergiato... e aggiunto sul rl di default

----------

## cloc3

Sto subendo un attacco esterno in piena regola:

```

s939 ~ # tail -n 100 /var/log/everything/current |grep "Invalid user"

Nov  6 11:26:26 [sshd] Invalid user sumainet from 83.162.18.213

Nov  6 11:26:28 [sshd] Invalid user supreme from 83.162.18.213

Nov  6 11:26:31 [sshd] Invalid user tainaka from 83.162.18.213

Nov  6 11:26:33 [sshd] Invalid user takahara from 83.162.18.213

Nov  6 11:26:38 [sshd] Invalid user tanaka from 83.162.18.213

Nov  6 11:26:41 [sshd] Invalid user terashima from 83.162.18.213

Nov  6 11:26:43 [sshd] Invalid user tomita from 83.162.18.213

...

```

Dopo un paio di riavvii della connessione adsl e la cancellazione dei cookies, sembrerebbe essersi interrotto.

Il server attaccante è:

```

s939 ~ # hostx 83.162.18.213

Name: harmless.demon.nl

Address: 83.162.18.213

```

Possiede un sito in costruzione.

Per ora non ho alcun tipo di difese da queste aggressioni, perché me ne stavo tranquillamente dietro il mio ip - dinamico.

Come conviene comportarsi?

edit grazie a chi ha spostato il topic.

----------

## gutter

Fatto il merge del topic di cloc3 con questo.

[MOD]Per favore cerchiamo prima di postare.[/MOD]

----------

## .:chrome:.

 *cloc3 wrote:*   

> Sto subendo un attacco esterno in piena regola:
> 
> Come conviene comportarsi?

 

fregatene. si tratta di script automatici pressoché innoqui

il massimo del danno che ti possono fare è riempirti i log di spazzatura e niente più, dato che fatto attacchi a dizionario su un elenco predefinito di utenti

se proprio ti da fastidio vedere quella roba, guardati denyhosts, segalato prima, oppure metti in sicurezza OpenSSH

----------

## ProT-0-TypE

io uso con soddisfazione knockd

----------

## X-Drum

 *neryo wrote:*   

> 
> 
> fortunatamente da quando ho cambiato porta non ricevo piu' tentativi di connessione sul mio gataway

 

idem, ma a questo punto mi rimetto ssh sulla 22 yep! grazie a questo programma!!

grazie k.gothmog per la segnalazione! adesso lo metto su e se denyhosts mi taglia 

fuori dalla macchina ti uccido lolololo  :Mr. Green: 

asdf

edit:ARGH! >_< il missing keyword..(amd64) ma quanto mi fa incazzare!!

go bugzilla

----------

## Ferdinando

Spulciavo tra i log, ed ho notato:

```
Jan  7 18:11:11 Aurora sshd[12733]: Did not receive identification string from 213.223.64.10

Jan  7 18:14:52 Aurora sshd[12762]: Invalid user <!DOCTYPE from 213.223.64.10

Jan  7 21:41:17 Aurora sshd[20417]: Did not receive identification string from 220.193.98.15

Jan  7 21:45:46 Aurora sshd[20463]: Invalid user test from 220.193.98.15
```

Che bello, il mio primo attacco subito   :Laughing: 

Per fortuna non ho account stupidi con password banali, comunque qui si legge cosa sarebbe successo se fossero entrati.

Un avvertimento: controllate periodicamente i vostri log, anche se, come me, avete un portatile con un ip dinamico che solo un folle attaccherebbe.

Ciao

----------

## lavish

Fatto il merge del topic di Ferdinando con questo.

 *gutter wrote:*   

> [MOD]Per favore cerchiamo prima di postare.[/MOD]

 

----------

## Ferdinando

 *lavish wrote:*   

>  *gutter wrote:*   [MOD]Per favore cerchiamo prima di postare.[/MOD] 

 

Scusa non lo avevo trovato   :Embarassed: 

----------

## Frez

un po' deluso per non aver ancora ricevuto alcun tentativo di connessione (quasi quasi rimetto sshd sulla porta 22), ho qualche dubbio sulla protezione tramite passphrase della chiave privata.

Da quanto ho capito per le password in /etc/shadow si parla di hash. Mentre per la chiave privata stiamo parlando di vera e propria encryption.

Nel primo caso l'attacco e' molto veloce, tutto in RAM per intenderci. Nel secondo caso invece si deve decifrare un testo (*), ma non c'e' un modo immediato per capire se la chiave tentata e' giusta, perche' anche la chiave privata e' un'accozzaglia di bit. E' necessario procedere al tentativo di connessione, il che porta via parecchio tempo (e finisce sui log) e finisce per rendere poco fattibile l'attacco.

(*) Non sono sicuro di qualce algoritmo venga usato, suppongo qualcosa dipo DES/3DES, ma se qualcuno volesse fornirmi informazioni piu' accurate ne sarei ben felice  :Smile: 

La passphrase poi puo' contenere spazi, punteggiatura ed essere lunga anche sui 30 caratteri. Uno potrebbe metterla su un'altra chiave usb, cosi' connettersi al proprio host diventa un po' come lanciare i missili nucleari  :Smile: 

In definitiva io sono piu' incline al blocco delle connessioni tramite password.

----------

## X-Drum

 *Frez wrote:*   

> un po' deluso per non aver ancora ricevuto alcun tentativo di connessione (quasi quasi rimetto sshd sulla porta 22), 
> 
> 

 

lol se questo non è masochismo  :Razz: 

 *Frez wrote:*   

> 
> 
> ho qualche dubbio sulla protezione tramite passphrase della chiave privata.
> 
> Da quanto ho capito per le password in /etc/shadow si parla di hash. Mentre per la chiave privata stiamo parlando di vera e propria encryption.
> ...

 

quando un utente si connette via ssh ad un host la dinamica è la seguente, in soldoni:

a seconda della configurazione del server ssh per autenticarsi su un sistema remoto

un utente deve fornire ad esempio:

-la password che gli è stata assegnata sul sistema (configurazione di default password salvata

in /etc/shadow e cifrata tramite i "soliti" algoritmi, metodo password)

-la chiave pubblica senza password (metodo publickey DSA or RSA without password)

-la password piu la chiave pubblica (metodo publickey DSA or RSA )

-ecc..

tutto dipende dal metodo impostato lato server (l'utente ne puo' usare molteplici se ammesso

dalla configurazione o essere "obbligato" ad adoperarne un solo tipo o solo alcuni),

in genere un metodo che implementi l'uso di publickey, è piu' sicuro di un metodo

che implementa solo password, poichè per loggarsi è necessario possedere

fisicamente anche la chiave oltre alla password dell'account in questione (altrimenti inutile, se

appunto si è impostato come unico metodo di autenticazione publickey).

come gia' detto in questo 3d gli attacchi di tipo "forza bruta" lanciati dai soliti script che circolano

in rete, sono in linea di massima innocui se si è configurato il sistema adeguatamente (nomi utenti

non troppo scontati e password per tali utenti abbastanza strong), anche se nn conviene sottovalutarli

per almeno due motivi:

-certi script ti floddano la macchina di richieste ed in generale questo non è carino,

(su una mia macchina, sulla quale gira linux ma non gentoo purtroppo, una volta ssh è morto) 

-analizzando i log sulle macchine che spesso subiscono tali attacchi noto che vi sono in giro script in grado

di indovinare con una percentuale di riuscita impressionante gli usernames degli utenti associati

alla macchina attaccata, e dato che tali usernames non sono il piu' delle volte nomi comuni e/o scontati,

questo rappresenta gia' un pericolo dato che non puoi pretendere che un utente "tipo" imposti una password

strong per il suo account.

come suggerito spesso da qualcuno in questo 3d per diminuire i rischi è buona norma:

-utilizzare usernames/password il meno possibile scontate

-impostare un solo metodo di autenticazione restrittivo (es: mediante publickey+password)

-utilizzare soluzioni per inibire gli attacchi da parte degli script maliziosi, cambiando la porta

di default per l'handshake da 22 ad una porta arbitraria, e magari impiegando programmi

come denyhosts (vedi suggerimento di k.gothmog) che imho fa benissimo il suo sporco

lavoro.

in linea di massima comunque forzare un account via ssh per mezzo della forza bruta

è sempre un cosa possibile (anche se un po remota) se si usa come metodo password o

keyboard-interactive rendere la cosa piu' difficile tramite l'uso di publickey puo' contribuire

ad innalzare il livello di sicurezza ed inoltre presenta alcuni altri vantaggi

----------

## Frez

grazie per le info, sempre benaccette.

denyhost e' senz'altro un'ottima cosa. spostare ssh su altre porte "aggira" certi problemi, ma non li "risolve".

Parlando di "passphrase" mi riferivo a questo problema:

 *k.gothmog wrote:*   

> se ti fregano la chiave privata non c'è molto da cambiare  e può essere violata con bruteforce

 

Ovvero: fermo restando che l'autenticazione sia possibile solo tramite publickey, argomentavo sui problemi si possono avere portandosi la propria chiave privata in giro.

----------

## .:chrome:.

allora...

quando autorizzi il login solo con chiave (cosa buona e giusta, nostro dovere e fonte di salvezza) tutti i simpatici programmini che fanno scansioni a nastro si trovano con le gambe tagliate a priori, e i loro tentativi di login vengono riportati solo marginalmente nei log, quindi da una normale analisi non risultano.

questo per fare una prima precisazione.

in merito alla sicurezza, fermo restando che è un discorso sempre relativo, si può dire che una situazione nella quale il login avviene solo con chiave e qullo con password è rifiutato, è la più sicura possibile.

ovviamente così facendo io devo portarmi sempre dietro una copia della mia chiave privata (portachiavi con memoria USB da pochi MB), e si spera che la chiave privata sia protetta da password, o sarebbe come mettere il portone blindato fuori di casa, e lasciare la chiave appesa alla maniglia.

in caso di smarrimento della chiave è vero che a si può sbloccare con un attacco di tipo bruteforce, ma è una cosa per cui ci vuole tempo, e intanto io devo VOLARE a prendere uno degli altri backup, ed entrare nel sistema per annullare la validità della chiave persa, rigenerandone presto un'altra.

una nota a margine: il fatto che una chiave privata sia più difficilmente violabile di una chiave pubblica è vero solo in alcuni casi.

molti testi (libri della O'Reilly, e lo stesso manuale di OpenSSH) consigliano di usare chiavi DSS (DSA) anziché RSA, ma questa scelta non ha alcun motivo fondato, ed è un pessimo consiglio! personalmente io consiglio di usare solo RSA. in quel caso si che è veramente molto difficile rompere una chiave privata

----------

## X-Drum

 *Frez wrote:*   

> spostare ssh su altre porte "aggira" certi problemi, ma non li "risolve".
> 
> 

 

beh ovvio, non è di sicuro la soluzione definitiva ma aiuta

a scremare un attimo gli atttacchi almeno...

 *Frez wrote:*   

> 
> 
> Parlando di "passphrase" mi riferivo a questo problema:
> 
>  *k.gothmog wrote:*   se ti fregano la chiave privata non c'è molto da cambiare  e può essere violata con bruteforce 
> ...

 

se per "portandosi in giro"  intendi metterla ad esempio su un usb-stick

corri gli stessi rischi che corri con una carta di credito, non comprendo

il problema ?_?

----------

## .:chrome:.

 *X-Drum wrote:*   

>  *Frez wrote:*   spostare ssh su altre porte "aggira" certi problemi, ma non li "risolve". 
> 
> beh ovvio, non è di sicuro la soluzione definitiva ma aiuta
> 
> a scremare un attimo gli atttacchi almeno...

 

secondo me è una soluzione abbastanza stupida. se in mezzo a te e la tua macchina c'è un firewall (a cui non puoi accedere) che identifica il servizio per la porta ed il protocollo (99% dei firewall) sei giòà fregato, e hai finito di usare SSH.

se il servizio deve stare sulla porta 22 perché mai toglierlo da lì?

la gente deve capire che SSH, con accesso mediante password è un protocollo ormai insicuro. l'unico modo per avere sicurezza è usare chiavi e/o certificati di accesso

----------

## X-Drum

 *k.gothmog wrote:*   

>  *X-Drum wrote:*    *Frez wrote:*   spostare ssh su altre porte "aggira" certi problemi, ma non li "risolve". 
> 
> beh ovvio, non è di sicuro la soluzione definitiva ma aiuta
> 
> a scremare un attimo gli atttacchi almeno... 
> ...

 

allora, forse non mi sono spiegato ben evidentemente quello che dicevo era semplicemente:

se vuoi smorzare un attimo gli "attacchi" sferratti al tuo server ssh, che per inciso (è male) ma è

configurato per un'autenticazione di tipo password/interactive (il perche' ti ostini ad usarlo sono c*** tuoi)

questa non è la soluzione a tutti i tuoi problemi, ma visto che ti ostini a far girare ssh in tal modo,

almeno fai in questo modo, e ti posso garantire che gli "attacchi" di tipo stupido sferrati da molti di

questi script non andranno a segno...

quindi non sostengo che tale tecnica sia infallibile miracolosa o tantomeno buona,

è una strada da intraprendere se ti ostini ad usare un setup d quel tipo...

per il resto come sai me la penso come te (potessi farlo   :Rolling Eyes:  )

----------

## .:chrome:.

 *X-Drum wrote:*   

> per il resto come sai me la penso come te (potessi farlo   )

 

lo so, lo so... era solo una considerazione.

volevo solo sottolineare i motivi per cui secondo me non è una buona soluzione

----------

## X-Drum

 *k.gothmog wrote:*   

>  *X-Drum wrote:*   per il resto come sai me la penso come te (potessi farlo   ) 
> 
> lo so, lo so... era solo una considerazione.
> 
> volevo solo sottolineare i motivi per cui secondo me non è una buona soluzione

 

infatti non sostengo che sia una soluzione specialmente se il contesto in cui si opera

è != da un server ssh casalingo senza grosse pretese

----------

## Ic3M4n

in ogni caso "anche in un server casalingo senza molte pretese" il poter utilizzare un certificato d'accesso è un metodo comodo per non dover digitare tute le volte una stupida password.

----------

## X-Drum

 *Ic3M4n wrote:*   

> in ogni caso "anche in un server casalingo senza molte pretese" il poter utilizzare un certificato d'accesso è un metodo comodo per non dover digitare tute le volte una stupida password.

 

omg ci rinuncio sisi è comodo e bla bla, ma li leggete i post? bah  :Twisted Evil: 

devi mettere su un server sulla tua box per farti passare due o 3 files da un amico 

oppure lavorare su che ne so un sito, cosa rapida e l'amico è anche interdetto,

ti metti li a generare chiavi? no!!!!!  :Laughing: 

edit: e porca miseria per inciso pure io uso sto metodo delle chiavi

arrrrrrrrrrrgh

----------

## cloc3

Adesso che ho configurato un apache con mod_security, trovo spesso nei log questo tipo di commento:

```

[Wed Jan 25 07:33:14 2006] [error] [client 209.139.229.78] mod_security: Access denied with code 500. Pattern match "^$" at HEADER [uri "/sumthin"]

```

È un tentativo di aggressione? Sbaglio oppure il carattere  "^$" rappresenta un carattere di fine linea? Perché ad apache potrebbe dare fastidio?

In genere, il client che lancia la presunta aggressione fa alcuni tentativi e poi smette.

Oppure lo ficco in /etc/hosts.deny . È una reazione eccessiva?

----------

## makoomba

"^$" = linea vuota 

vuol dire che il client non ha fornito alcuni headers (ad esempio HTTP_USER_AGENT), quindi è molto probabile che sia un qualche script automatizzato.

----------

## cloc3

```

s939 ~ # grep -rH 82.55.92.105 /var/log/apache2/error_log |wc -l

4383

s939 ~ #  hostx 82.55.92.105

Nameserver not responding

82.55.92.105 PTR record not found, try again

```

non male, come numero di tentativi di accesso bloccati da modsecurity.

ancora, cerca di fare cose non tanto simpatiche, e prova a cammuffarsi da googlebot:

```

s939 ~ # grep -rH 82.55.92.105 /var/log/apache2/error_log |grep passwd|grep google

/var/log/apache2/error_log:[Sun Jul 08 13:25:04 2007] [error] [client 82.55.92.105] ModSecurity: Access denied with code 400 (phase 2). Found 1 byte(s) outside range: 1-255. [id "960901"] [msg "Invalid character in request"] [severity "WARNING"] [hostname "host45-238-dynamic.14-87-r.retail.telecomitalia.it"] [uri "/cgi-bin/googlesearch/GoogleSearch.php?APP[path][lib]=/etc/passwd%00"] [unique_id "dMIPHKwQyIAAAFnNVAoAAAAC"]

```

qualcuno sa chi è o cosa vuole?

----------

## Ferdinando

 *cloc3 wrote:*   

> qualcuno sa chi è o cosa vuole?

 

Aspirante hacker napoletano con contratto telecom, a occhio (whois)

----------

## cloc3

 *Ferdinando wrote:*   

> (whois)

 

bello. e adesso cosa si fa di lui?

a chi è bene segnalare?

----------

## Kernel78

 *cloc3 wrote:*   

>  *Ferdinando wrote:*   (whois) 
> 
> bello. e adesso cosa si fa di lui?
> 
> a chi è bene segnalare?

 

Visto che il suo provider sembra essere telecom dovresti mandare una mail ad abuse, di più non so se si possa fare (dubito che esista il reato di tentato accesso a sistema informatico ma potrei sbagliarmi).

----------

