Взлом FreeBSD

[asb-eab]

приветствую Вас, господа Админы.
стоит шлюз на FreeBSD+apache+squid+mysql+sams+php+pf
некоторое время назад заметил что ядро ругается на сканирование портов и дропает количество с ХХХ до 200
сегодня заглянул, а там отчеты о неудачных попытках подключиться к руту.
морочаться не стал, залез в rc.conf и поставил

Код: Выделить всё

sshd_enable="NO"

перезапустил, попробовал подключиться Путти к серваку - коннекта нет, ушел домой.

теперь вопрос, где можно прописать разрешение подключаться удаленно к ssh только с ИПа 192.168.0.2, а со всех остальных адресов закрыть конект?
так же, каким образом можно запретить ЛЮБОЙ доступ к Апачу извне? сейчас при проходе по моему белому ИПу открывается индекс моего маленького внутреннего сайта и при добавлении к ипу /sams/ открывается веб управление сервером. как запретить к этому всему доступ извне, но разрешить из локальной сети организации?

в роли фаервола стоит pf, у ssh открыт удаленный доступ руту, не редко работаю из дома....
pf перебрасывает запросы удаленного рабочего стола на виндовую машину, так что доступ в ЛС есть, а от туда уже мжно будет и к ssh подключиться.
зарание благодарен

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[asb-eab]

вот это IPTools сообщил об ИПах, с которых были неудачные попытки залогиниться

Код: Выделить всё

Address : 122.57.145.241
Name    : 122-57-145-241.jetstream.xtra.co.nz   (.NZ  | New Zealand (Aotearoa))
Ping .... Ok, Time : 379
Port  80 ... Ok !  
Port 110 ... Ok !  
Port  21 ... Ok !  
3 (of 9) open port(s) detected

Done


Address : 88.70.225.161
Name    : dslb-088-070-225-161.pools.arcor-ip.net   (.NET | Network)
Ping .... no reply
Done

первый из них вроде как провайдер

[snorlov]

Волшебное слово - файер, ну а про остальное - на внешнем интерфейсе вешайте только то , что там должно висеть, в простейшем случае привязывайте сервисы локальной сети к внутреннему интерфейсу... А вообще то голова должна быть с извилинами...

[asb-eab]

Волшебное слово - файер, ну а про остальное - на внешнем интерфейсе вешайте только то , что там должно висеть, в простейшем случае привязывайте сервисы локальной сети к внутреннему интерфейсу... А вообще то голова должна быть с извилинами...

фаервол стоит pf, а вот с извилинами проблемы.
как сказать апачу что он должен работать только в ЛС и то же самое для sshd?

[alex_b]

Волшебное слово - файер, ну а про остальное - на внешнем интерфейсе вешайте только то , что там должно висеть, в простейшем случае привязывайте сервисы локальной сети к внутреннему интерфейсу... А вообще то голова должна быть с извилинами...

фаервол стоит pf, а вот с извилинами проблемы.
как сказать апачу что он должен работать только в ЛС и то же самое для sshd?

А как вы вообще его установить то смогли если такие вопросы задаете?
В конфиг заглянуть вообще никак ?

[Bayerische]

Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.

[asb-eab]

А как вы вообще его установить то смогли если такие вопросы задаете?
В конфиг заглянуть вообще никак ?

конфиг смотрел, настроил переброс банкклиена из ЛС к банку и проброс запросов удаленного рабочего стола из инета на комп в ЛС.
я нуб совсем, сделал по статье...

[asb-eab]

Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.

это вот здесь надо править
/etc/ssh/sshd_config
?

[Bayerische]

Да, как ни странно.

[asb-eab]

Да, как ни странно.

как вариант вполне действенно, допустим я перенес на порт 1001, сканер покажет что это порт ssh?

[Bayerische]

сканер покажет что это порт ssh?

Вопрос интересный, я не знаю
Я рассчитывал на это как на организационную меру. В подавляющем большинстве случаев никто не будет пытаться подключиться по нестандартному порту.

[Alex Keda]

а так же поставьте sudo, запретите руту доступ и спите спокойно.

ну да. видел я последовавших такому совету - тока у них в судо прописан шелл
и что удивительно - спят ну абсолютно спокойно

[asb-eab]

а так же поставьте sudo, запретите руту доступ и спите спокойно.

ну да. видел я последовавших такому совету - тока у них в судо прописан шелл
и что удивительно - спят ну абсолютно спокойно

в таком случае Ваше ИМХО в студию по вопросу данной темы?

[snorlov]

Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.

Во фре по умолчанию, прямой доступ для root по ssh запрещен, разрешен только для пользователей из группы wheel, впрочем очумелые ручки могут разрешить авторизоваться сразу root'у, защитить ssh можно еще многими путями, в самом конфиге конкретно прописать пользователя и с каких ip он заходит, изменить порт 22 на нестандартный, файером разрещить доступ к порту ssh с определенных ip и запретить доступ к этому порту всем остальным, ну и различные приблуды, анализирующие консоль и блокирующие ip на некоторое время, если аутенфикация не проходит, например sshit...

[asb-eab]

Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.

Во фре по умолчанию, прямой доступ для root по ssh запрещен, разрешен только для пользователей из группы wheel, впрочем очумелые ручки могут разрешить авторизоваться сразу root'у, защитить ssh можно еще многими путями, в самом конфиге конкретно прописать пользователя и с каких ip он заходит, изменить порт 22 на нестандартный, файером разрещить доступ к порту ssh с определенных ip и запретить доступ к этому порту всем остальным, ну и различные приблуды, анализирующие консоль и блокирующие ip на некоторое время, если аутенфикация не проходит, например sshit...

sshit разглядывал...
вот у меня какраз те самый ручки, которые разрешили подключаться рутом удалено (удобно сидеть и из дома допиливать конфиг, график работы позволяет мне не приходить на работу,а аделать всё из дома).
но вот думаю не надо баловаться, сижу читаю про pf, дапилю немного, а консоль удаленно вообще отключить и не пользоваться, а то начальство скажет "че ему платить, он вообще на работе не появляется" (1 начальник прекрасно понимает что и как я делаю, знает про удаленный доступ, вторая начльница полностью доверяется мне и первому начальнику, третья начальница самая главная - вообще не знает как влючается комп и ей не объяснишь что есть удаленный рабочий стол и путти, а еще бюзгалтерши палки в колеа пытаются пихать всякими тимвейверами и тунелированием его трафика, чего им не работается... а потом мне замгендира говорит плачется что у нас бухгалтерия через пень-колоду...)
пора дресировать особо непослушных, достали уже, все шишки на админа "дальше фишка не идет"

[Aligarh]

Я от автоматических сканеров защитился так:

В "/etc/ssh/sshd_config" поставил

Код: Выделить всё

PermitRootLogin no
Port 222

За всё время работы сервера ни одной левой попытки логина. Разрешен логин по SSH только под моим пользователем с ограниченными правами, для перехода к руту использую "su". Пароли, естественно, разные.

допустим я перенес на порт 1001, сканер покажет что это порт ssh?

nmap покажет. Даже версию ssh и, может, ОС покажет.

А для параноиков давно есть статья: http://www.lissyara.su/articles/freebsd ... _knocking/

[schizoid]

название темы то какое страшное

[asb-eab]

Aligarh
интересная статейка, как-то не видел ее раньше, сижу читаю...

[asb-eab]

не вижу сцылочку на обсуждение этой статьи на форуме
http://www.lissyara.su/articles/freebsd ... _knocking/
из GUI(любого, не важно Win или *nux) Putty сможет сотворить такой коннект по трем разным портам и протоколам? или как вариант надо будет из консоли конектиться, откроется порт с правилами для моего ИПа и потом подключать Путти?
так же вопрос по статье: там было оговорено о времени, т.е. прям во время работы убираются правила и отрезается сессия? или удаление правил из ПФа происходит после отключения сессии? правила из ПФа удаляются сами автоматически после окончания сессии?

[asb-eab]

название темы то какое страшное

надо же было привлечь внимание к моей проблеме

[snorlov]

Я на вашем месте не смеялся бы, хорошо, что вы (ваш сервер) не представляет интереса, а то бы получили по полной ...

[suspender]

Я когда то пробовал ставить разные нестандартные порты - попыток подсосацца стало меньше на порядок, но всё равно они были.

В итоге, с поднятием OpenVPN, прописал в sshd_config слушать только локальный адрес. Тоже как вариант.

[dekloper]

название темы то какое страшное

ага
я думал аццкий хацкер радостью хотел поделиться об успешно проделанной работе

[asb-eab]

Я на вашем месте не смеялся бы, хорошо, что вы (ваш сервер) не представляет интереса, а то бы получили по полной ...

т.е. таким названием темы я привлекаю хакеров?
каким образом можно узнать ИП моего сервака по моим сообщениям?
я хакерством никогда не увлекался, ток теорию немного знаю...

[asb-eab]

название темы то какое страшное

ага
я думал аццкий хацкер радостью хотел поделиться об успешно проделанной работе

не, я законопослушный, организация закупила неоходимый софт, пидраться особо некчему, я женат и люблю жену - сообтветственно в тюрьму не хочется.