Ahoj, zaznamenal jsem několik pokusů o prolomení roota na své Fedoře 18.
Poradíte prosím, zda následující je dostatečné, či co bych měl v zabezpečení změnit? Děkuji
Používám WiFi router a veškerou komunikaci z venčí směřuji NATem na fiktivní IP. Na server mam mapovány jen 2 porty - 80 (web) a XXXX (převáděný na 22). (nově nastaveno, dříve byl NAT na server)
na serveru pak sdílím lokálně data - mam tedy selinux vypnutý a firewalld nastavený následovně:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Home</short>
<description>For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming co$
<service name="ssh"/>
<service name="ipp-client"/>
<service name="mdns"/>
<service name="samba-client"/>
<port port="139" protocol="tcp"/>
<port port="139" protocol="utp"/>
<service name="dhcpv6-client"/>
</zone>
heslo snad dostatečně složité, neprolomitelné slovníkovou metodou
Máte prosím někdo nějaké návrhy, jak se lépe bránit?
Nastaveni firewallu vypada ok. Ale jak sam pises nekdo se ti snazi prolomit heslo pres ssh. Tudiz si zabezpec SSH. Zamez prihlaseni roota a popripade pouzivej prihlaseni pokoci klicu misto hesel. SElinux bych zapl pokud to nedela paseku. Ale dulezitejsi je kouknout na nastaveni ssh serveru.
Neco jako toto http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-prakticke-rady-pro-zabezpeceni-ssh
Otazka zabezpecni je vzdy jen vyvazenim investovaneho usili a hodnoty toho co tim chci chranit. Obecne pro domaci pouziti, pokud nechci nejakou sluzbu exportovat VEN z domaci site, proste ji na vnejsim rozhrani zakazu nebo ji nastavim tak, aby ven neposlouchala.
Slovnikove utoky na ucet root u ssh jsou naprosto bezne, protoze to je zname systemove jmeno. Zeslozitit situaci tedy lze zakaznim prihlaseni uzivatele root primo pres ssh pomoci hesla v nastaveni sshd. Tim se zvysi obtiznost napadeni o slozitost zjisteni uzivatelskeho jmena, coz nekdy nemusi byt zase tak obtizne. Takto by se dalo pokracovat dale, zmenou portu, omezenim poctu prihlaseni za cas… atd.
Tzn. to jak to mas, je vicemene dobre zabezpeceni pro domaci pouziti, idealni by bylo mit na tom domacim routeru jeste FW, na kterem opravdu zakazes ostatni porty. SElinux na fedore pak zvysuje barieru pri napadani webu, nebo po prolomeni uzivatelskeho jmena a hesla znesnadnuje pouziti nekterych hacku ke zvyseni prav atd.
