Utnytter Linux-systemer med åpne SSH-porter til å utvinne kryptovaluta

[Harald Brombach (digi.no)]

Skadevaren være vanskelig å oppdage av antivirusprogrammer.

Utnytter Linux-systemer med åpne SSH-porter til å utvinne kryptovaluta

[sk0yern]

Eh, nei, det handler ikke om å ikke tillate store mendger mislykkede innloggingsforsøk.

Det handler først og fremst om å ha enten et sterkt passord, eller en annen sterk form for autentisering.

[pitrh]

Som artikkelen påpeker (men muligens ikke klart nok), så vil du vinne mye på å velge andre passord for admin-kontoer enn det en del sluttbrukerprodukter blir levert med.

 

Helst burde en vel gå over til for eksempel nøkkelautentisering i stedet, eventuelt en av de forskjellige tofaktor-mekanismene som OpenSSH faktisk støtter.

 

Og har man først gjort minst en av disse tingene, så kan man gå over til aktiv robotmobbing, som for eksempel det jeg skriver om her (forutsetter OpenBSD eller annen BSD med PF, men poenget er lett å fatte): http://bsdly.blogspot.com/2017/04/forcing-password-gropers-through.html

 

Og ja, også resultatene av aktiviteten (svartlister av ymse slag) er tilgjengelig for gratis nedlasting fra linkene i artikkelen.

[ToVine]

Eh, nei, det handler ikke om å ikke tillate store mendger mislykkede innloggingsforsøk.

Det handler først og fremst om å ha enten et sterkt passord, eller en annen sterk form for autentisering.

 

Sterke passord hjelper ikke hvis en inntrenger får prøve uhemmet så lenge den vil.

Å kreve nøkkel for ssh hjelper forsåvidt, men det å påstå at fail2ban og lignende ikke har noe for seg er ignoranse.

[nightowl]

Sterke passord hjelper ikke hvis en inntrenger får prøve uhemmet så lenge den vil.

 

Ingen som gidder å kjøre passordknekking i flere år - noe som blir tilfellet om passordet er tilstrekkelig vanskelig nok.

[linux-fan]

Som artikkelen påpeker (men muligens ikke klart nok), så vil du vinne mye på å velge andre passord for admin-kontoer enn det en del sluttbrukerprodukter blir levert med.

...

Kan være en idé å ikke tilatte direkte passord login som root etc. , men ha fra personlige brukere som gjør sudo til admin konti.

Bruker man ikke ssh/sftp innlogginger kan man sperre for trafikk til port 22, ofte gjort av systemer som default.

Ellers kan/bør man sette opp host.allow med info om hvilke servere som får lov til å logge seg inn, og ssh_config har en del settinger man kan justere.

Å bruke ssh med andre porter enn default er mulig, men security by obscurity.

sftp brukere bør ikke ha lov til generell login, men begrenset til sftp og foldere.

[Eplekatt]

Tror ikke dette vil funke i praksis om man ikke bruker ganske enkle passord

 

Selv vil jeg jo tro å håpe at de fleste som kan linux også forstår poenget i å ha ett langt passord.

[XJAXFAKF]

Hva med å bare tillatte trafikk fra enkelte IP'er (i tillegg til Fail2ban) så skulle man vel være ganske aktiv.

[xaco]

Å bruke ssh med andre porter enn default er mulig, men security by obscurity.

 

Du fjerner jo 95% av scriptkiddiene som bare gjør en portscan av nettet og prøver å bruteforce seg inn da.

 

Gjorde et forsøk på det for et par år siden. Og maskinen med åpen port 22 og en annen maskin med ssh på port 2223 så var det sikkert 30-40 ganger så mange forsøk på den som kjørte med port 22 enn den på 2223.

[gulpetter]

Det greiaste er nok å bruke alle råda som er komt i denne tråden.