Logowanie mam ustawione na klucz publiczny i oczywiście hasła są wyłączone. Też mam ograniczenie logowania na swojego użytkownika i jedynie z lokalnej sieci.
Logi mam zaspamowane takim czymś
cze 14 11
cze 14 11
Najłatwiej byłoby wyłączyć przekierowanie portów, ale nie ja zarządzam routerem więc musiałbym pisać o to do dostawcy, ale jak będę potrzebował dostępu ssh to włączą mi to z opóźnieniem nawet 1 dnia, więc odpuszczę to sobie.
Są jakieś sposoby na odbicie piłeczki i ukaranie za próby wbicia się na serwer?
Czy na pewno jestem bezpieczny?
#linux
Polityka default deny z jakichś dziwnych adresów?
Honeypot z blacklistą?
Whitelisty?
@jimmy_gonzale @NiebieskiSzpadelNihilizmu
A czy właśnie włączenie logowania po kluczu nie rozwiązuje tego problemu?
Nie widzę zbytnio sensu używania innych programów, skoro w systemie mogę mieć to samo z minimalną konfiguracją.
No chyba że jestem w błędzie i mój obecny setup jest wrażliwy na atak
@krokietowy nie no, masz rację. Fail2ban to kolejna warstwa. On Ci np. daje możliwość pisania reguł i blokowania po IP na ten przykład. Zapoznał bym się na Twoim miejscu. Na swoim tez, bo brakuje mi wiedzy by dać Ci definitywną radę.
@krokietowy Musisz koniecznie używać routera dostawcy? Nie zastanawiałeś się nad kupnem lub złożeniem porządnego routera, gdzie mógłbyś zainstalować np. OpnSense?
@dolitd Pytałem się o to i okazało się że nie da rady, bo też oferują inne usługi i gdybym kiedyś chciał użyć innych(w co wątpię) to mają możliwość ich odblokowania przez router.
Mam w domu zakourzony router z OpenWRT, ale raczej nie widzę sensu jego używania
@krokietowy jq też trochę he z tym walczyłem. Na koniec po prostu zlikwidowałem wystawienie portu ssh na świat i w razie potrzeby wpinam się przez wireguarda do lokalnej sieci i dopiero po tym ssh.
@krokietowy że się tak brzydko wyrażę- a chuja tam. To skomlenie jest za każdym razem, żeby tylko mogli odpałować uporczywego petenta. Mi prywatny dostawca internetu do domu powiedział, że mogę korzystać ze swojego gówno tplinka i nie ma problemu "tylko jeśli nie czuję się z tym niekomfortowo to czy byłaby możliwość dać login i hasło w razie jakby trzeba było robić troubleshooting żeby nie wysyłać specjalnie technika i nie kasować za dojazd" i zaraz dodał "ale jak tylko coś to nie ma problemu, to nie jest żaden przymus czy wymóg". A oni rzekomo na (pół?)zarządzanym routerze nie mają możliwości- pachnie ściemą i tyle. Natomiast ja bym zrobił inaczej bo tak to mógłbyś się z nim kopać do porzygu- weź ten router dostawcy ustaw na zwykłe przekazywanie wszystkiego, pełna rura, bridge, a za tym wepnij swój router i tam rób wszystko co potrzebujesz i chcesz.
@krokietowy - nie wiem co to za router i dostawca ale niektóre z nich można skonfigurować by służyły tylko jako most (bridge) i podpiąć wtedy własny router... no ale wtedy całe security spada na ten twój router, więc lepiej aby miał aktualny software.
Chińczycy skanują właściwie każdy adres IP i jak wykryją, że masz coś wystawione na świat to będą Cię bombardować - nie da się tego uniknąć
Jak się boisz to do tego routera od dostawcy podepnij ten router z OpenWRT, na nim wystaw SSH (wtedy będziesz musiał na routerze dostawcy ustawić port forwarding) i na Linuksie ustaw sobie port knocking: https://www.howtogeek.com/442733/how-to-use-port-knocking-on-linux-and-why-you-shouldnt/
@krokietowy Ja mam to rozwiązane tak że wszystkie routery którymi zarządzam są wpięte jedną nogą do mojego VPN (wireguard i openpvn), drugą do wireguarda którego hostuję na mikr.us (pozdro @Unknow )
W ten sposób jak machnę jakiś misconfig to zawsze mam alternatywną trasę odkręcenia missclicka.
A co to ma wspólnego z Tobą? Proste ;d. Możesz whitelistnąć IP mikrusa czy innego dowolnego VPSa i do siebie łączyć się tylko z tej jednej maszyny. Na hostingu będzie Ci prościej skonfigurować banowanie IP które walą po SSH. U siebie mam to rozwiązane tak że mam wystawiony jeszcze serwer www, niby nic nielkiego ale w logach odbija się ktoś kto wchodzi po konkretny zasób i kto próbuje się włamać. Tych włamujących zbieram fail2ban'em i karmię nimi mój główny router, efektywnie wycinając im możliwość jakiejkolwiek komunikacji z moimi adresami publicznymi.
Możliwości jest wiele, możesz też mieć np tunel między sobą a VPSem i zezwalać tylko na połączenia z wewnątrz tego tunelu, moderując po stronie VPSa kto może (a właściwie kto nie może) się do Ciebie podłączyć. Sky is the limit.
Zaloguj się aby komentować