непонятный момент с sshd

[dalt]

Если вопрос элементарный то извините, гуголь мне не помог.

Я настроил sshd на соединение по ключам. Всё работает как надо.

Код: Выделить всё

cat sshd_config |grep -v '^#'
Port 22
Protocol 2
ListenAddress 212.1x.1xx.1xx
DenyUsers root
AllowUsers dalt pavel viktor
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
RhostsRSAAuthentication no
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM no
Subsystem       sftp    /usr/libexec/sftp-server

Вопрос у меня в том, что не смотря на аутентификацию по ключу - в логах продолжаются попытки перебора от вражин. Когда я сам пытаюсь подключиться к этой машине с компа на котором нет ключа, меня отшибает вот так: Permission denied (publickey). И в логах попытка соединения не отображается.

Но при этом, в логах продолжается вот такое:

Код: Выделить всё

Jan 17 10:50:55 gw_bsd sshd[38201]: Accepted publickey for dalt from 213.8x.xx.7 port 38234 ssh2
Jan 17 10:51:19 gw_bsd sshd[38203]: Received disconnect from 213.8x.xx.7: 11: disconnected by user
Jan 17 11:17:23 gw_bsd sshd[38271]: User root not allowed because listed in DenyUsers
Jan 17 11:17:57 gw_bsd sshd[38273]: User root not allowed because listed in DenyUsers
Jan 17 11:18:01 gw_bsd sshd[38276]: User root not allowed because listed in DenyUsers

Мое успешное подключение и отключение с ключом как пример корректной работы ключей, но и куча левых попыток подключиться рутом, я лишь часть скопировал, они одинаковые.

Я убрал root из DenyUsers ради интереса, при сохранении остальных параметров, и в логах вот такая фигня:

Код: Выделить всё

Jan 18 07:06:00 gw_bsd sshd[51647]: Illegal user lindsey from 201.76.1.202
Jan 18 07:06:03 gw_bsd sshd[51649]: Illegal user ashlyn from 201.76.1.202
Jan 18 07:06:07 gw_bsd sshd[51651]: Illegal user carly from 201.76.1.202
Jan 18 07:06:11 gw_bsd sshd[51653]: Illegal user marissa from 201.76.1.202
Jan 18 07:06:14 gw_bsd sshd[51655]: Illegal user gracie from 201.76.1.202
Jan 18 07:06:19 gw_bsd sshd[51657]: Illegal user sierra from 201.76.1.202
Jan 18 07:06:22 gw_bsd sshd[51659]: Illegal user lillian from 201.76.1.202
Jan 18 07:06:25 gw_bsd sshd[51661]: Illegal user jillian from 201.76.1.202
Jan 18 07:06:29 gw_bsd sshd[51663]: Illegal user reagan from 201.76.1.202
Jan 18 07:06:33 gw_bsd sshd[51665]: Illegal user shelby from 201.76.1.202
Jan 18 07:06:37 gw_bsd sshd[51667]: Illegal user amelia from 201.76.1.202
Jan 18 07:06:41 gw_bsd sshd[51669]: Illegal user jada from 201.76.1.202
Jan 18 07:06:44 gw_bsd sshd[51671]: Illegal user kendall from 201.76.1.202
Jan 18 07:06:48 gw_bsd sshd[51673]: Illegal user courtney from 201.76.1.202
Jan 18 07:06:52 gw_bsd sshd[51675]: Illegal user brooklyn from 201.76.1.202
Jan 18 07:06:58 gw_bsd sshd[51677]: Illegal user autumn from 201.76.1.202
Jan 18 07:07:02 gw_bsd sshd[51679]: Illegal user mary from 201.76.1.202
Jan 18 07:07:06 gw_bsd sshd[51681]: Illegal user amber from 201.76.1.202
Jan 18 07:07:11 gw_bsd sshd[51683]: Illegal user maggie from 201.76.1.202
Jan 18 07:07:15 gw_bsd sshd[51685]: Illegal user test tester from 201.76.1.202
Jan 18 07:07:18 gw_bsd sshd[51687]: Illegal user  from 201.76.1.202
Jan 18 07:07:22 gw_bsd sshd[51689]: Illegal user  from 201.76.1.202
Jan 18 07:07:25 gw_bsd sshd[51691]: Illegal user  from 201.76.1.202
Jan 18 07:07:29 gw_bsd sshd[51693]: Illegal user  from 201.76.1.202
Jan 18 07:07:32 gw_bsd sshd[51695]: Illegal user  from 201.76.1.202
Jan 18 07:07:36 gw_bsd sshd[51697]: Illegal user  from 201.76.1.202
Jan 18 07:07:40 gw_bsd sshd[51699]: Illegal user  from 201.76.1.202
Jan 18 07:07:44 gw_bsd sshd[51701]: Illegal user  from 201.76.1.202
Jan 18 07:07:50 gw_bsd sshd[51703]: Illegal user  from 201.76.1.202
Jan 18 07:07:53 gw_bsd sshd[51705]: Illegal user  from 201.76.1.202
Jan 18 07:07:58 gw_bsd sshd[51707]: Illegal user  from 201.76.1.202

Я чего-то не понимаю, или что-то сделал не так? Почему меня без ключа отшибает корректно, а вражины могут устраивать какой-то непонятный подбор?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[sadchok]

denyhosts

[dalt]

Мне непонятна причина этого перебора при работающей аутентификации по ключу и отключенных других вариантах.

Почему они, судя по логам, успешно что-то перебирают, когда это по-идее вообще не должно быть возможным?

Методы решения есть, и они простые - это блокировка всего левого файрволлом или хостбазед аутентификация. Но сперва хочется понять, почему оно не ведет себя как должно...

з.ы. именно на вопрос "почему" это происходит, я и не смог нагуглить ответ

[dalt]

з.з.ы. если поставить вопрос с другого конца, то тоже непонятно. Допустим я редиско, зарабатываю на жизнь взломом, у меня есть скрипт перебирающий имена и пароли. Если при аутентификации по ключам перебор не возможен - смысл тупо гонять скрипт? Учесть классический отлуп по ключам в скрипте - элементарно и довольно очевидно.

На что-то же они рассчитывают?

[Charlz_Klug_]

Допустим я редиско, зарабатываю на жизнь взломом, у меня есть скрипт перебирающий имена и пароли. Если при аутентификации по ключам перебор не возможен - смысл тупо гонять скрипт? Учесть классический отлуп по ключам в скрипте - элементарно и довольно очевидно.

Наверное, сценарии писал быдлокодер. По типу: лишь бы работало.

[snorlov]

з.з.ы. если поставить вопрос с другого конца, то тоже непонятно. Допустим я редиско, зарабатываю на жизнь взломом, у меня есть скрипт перебирающий имена и пароли. Если при аутентификации по ключам перебор не возможен - смысл тупо гонять скрипт? Учесть классический отлуп по ключам в скрипте - элементарно и довольно очевидно.
На что-то же они рассчитывают?

Там может сидеть какой-нибудь подросток, который нашел скрипт и посканировав окружающих, нашел, что у вас порт 22 живой и отвечает login:... ну как тут и не по развлекаться. Да и вы тоже хороши выставив его наружу "ГОЛЫМ", защитили бы его хотя бы простеньким sshit, я уж не говорю, что наверное лазаете на него извне со вполне известных адресов... Трафик при этом был бы меньшим...

[Гость]

з.з.ы. если поставить вопрос с другого конца, то тоже непонятно. Допустим я редиско, зарабатываю на жизнь взломом, у меня есть скрипт перебирающий имена и пароли. Если при аутентификации по ключам перебор не возможен - смысл тупо гонять скрипт? Учесть классический отлуп по ключам в скрипте - элементарно и довольно очевидно.
На что-то же они рассчитывают?

Там может сидеть какой-нибудь подросток, который нашел скрипт и посканировав окружающих, нашел, что у вас порт 22 живой и отвечает login:... ну как тут и не по развлекаться. Да и вы тоже хороши выставив его наружу "ГОЛЫМ", защитили бы его хотя бы простеньким sshit, я уж не говорю, что наверное лазаете на него извне со вполне известных адресов... Трафик при этом был бы меньшим...

Про защиту вопрос хоть открыт, это не проблема насколько я уже нагуглил.
Так же я нагуглил, что защитой от brute force атак - является установка аутентификации по ключам.
Я поставил ключи, и с удивлением обнаружил, что перебор в логах продолжается. При том, что мои попытки отшибает корректно не доводя до запроса логина и тем более пароля.

Ок, это подросток пользующийся быдло скриптом. Но каким образом ему мой демон ssh позволяет доводить до запроса логина и пароля (иначе в логи бы это не попало, насколько я понимаю, ведь мои попытки подключиться без ключа - в логи не попадают), если это явным образом выключено в конфиге?

Прежде чем закрывать файрволлом всё кроме разрешенных IP - мне хотелось бы понять, в чем подвох с классическим решением об аутентификации по ключам, как средство от брутфорса.

[Charlz_Klug_]

Прежде чем закрывать файрволлом всё кроме разрешенных IP - мне хотелось бы понять, в чем подвох с классическим решением об аутентификации по ключам, как средство от брутфорса.

Может subsystem убрать из конфига?

[sadchok]

А где у вас хранится ключ?
$HOME/.ssh/authorized_keys
Значит имя пользователя сервер все таки должен принят и проверить.
Я так думаю.

[sadchok]

Попробуйте

Код: Выделить всё

PreferredAuthentications publickey

[FiL]

бррр... где Вы видите подбор пароля в логах? В логах виден отруб на этапе проверки юзера. Еще до запроса пароля или ключа.
Найдут валидного юзера - тогда будут подбирать пароль. И уж тогда, увидев, что пароль не спрашивается, отвалят. Но перебирать юзеров-то надо. А как иначе?

[dalt]

А где у вас хранится ключ?
$HOME/.ssh/authorized_keys
Значит имя пользователя сервер все таки должен принят и проверить.
Я так думаю.

Похоже всё так и есть. Спасибо, сейчас проверил еще раз с разными именами пользователя при разных вариантах наличия или присутствия ключа.

Просто неуспешную (безключную) попытку с пользователем занесенным в AllowUsers - почему-то не заносит в логи, но отлуп дает правильный. Что меня и смутило.

В общем извините за глупую тему И спасибо за ответы большое.

[dalt]

бррр... где Вы видите подбор пароля в логах? В логах виден отруб на этапе проверки юзера. Еще до запроса пароля или ключа.
Найдут валидного юзера - тогда будут подбирать пароль. И уж тогда, увидев, что пароль не спрашивается, отвалят. Но перебирать юзеров-то надо. А как иначе?

Я правильно понимаю, что при аутентификации по ключу они не найдут валидного юзера в любом случае?

Отлуп то в любом случае одинаковый

Из перечисленных попыток с машины без приватного ключа: dalt - в AllowUsers, vasya - нигде, root в DenyUsers

Код: Выделить всё

ns# ssh -l dalt 212.15.xxx.1xx
Permission denied (publickey).
ns# ssh -l vasya 212.15.xxx.1xx
Permission denied (publickey).
ns# ssh -l root 212.15.xxx.1xx
Permission denied (publickey).

[FiL]

да, похоже ты прав. Как-то я этот момент упустил. Спасибо.