| F1tzgera1d | sa jakies sposoby na poprawe bezpieczenstwa swojego vps poza fail2ban i w miare długim hasłem? | 14:50 |
|---|---|---|
| gjm | logowanie po kluczu | 14:51 |
| gjm | port knocking | 14:51 |
| F1tzgera1d | czytałem cos o logowaniu po kluczu właśnie | 14:51 |
| Voldenet | knockd jest | 14:52 |
| Voldenet | ustaw ssh na innym porcie | 14:52 |
| gjm | o, to też | 14:52 |
| Voldenet | w sumie ustawiaj wszystkie usługi zdalne na niedomyślnych portach | 14:53 |
| Voldenet | odkąd to mam, to fail2ban mi niepotrzebny | 14:53 |
| F1tzgera1d | a jakie jest ryzyko ze cos zepsuje i strace dostep do maszyny? ;-) | 14:53 |
| Voldenet | jak miałem na 22, to bez fail2ban miałem kilka tysięcy "wizytantów" dziennie :) | 14:53 |
| gjm | same here | 14:53 |
| Voldenet | nie wiem | 14:54 |
| Voldenet | z logowaniem kluczem to najpierw możesz ustawić je jako opcję | 14:54 |
| Voldenet | a potem poprawić | 14:54 |
| Voldenet | ale i tak zepsuć się da | 14:54 |
| F1tzgera1d | a jak zmienić ten port? domyslny chyba jest 22? | 14:54 |
| gjm | w sshd_config | 14:55 |
| Voldenet | Port 34893 | 14:55 |
| gjm | teraz cię shaksoruję | 14:55 |
| Voldenet | :D | 14:55 |
| F1tzgera1d | :D | 14:55 |
| Voldenet | sam mam inny, gjm :D | 14:55 |
| Voldenet | i u mnie tylko zdalnie z kluczem :D | 14:55 |
| F1tzgera1d | a ten port sie zmiania tylko na kliencie czy na serwerze tez cos trzeba zmianiac? | 14:56 |
| gjm | lol | 14:56 |
| F1tzgera1d | no lol wiem | 14:56 |
| F1tzgera1d | :D | 14:56 |
| gjm | 16:55 <@gjm> w sshd_config | 14:56 |
| Voldenet | na serwerze | 14:56 |
| F1tzgera1d | ok | 14:56 |
| gjm | czyli na serwersze | 14:56 |
| gjm | serwerze | 14:56 |
| F1tzgera1d | dzieki;D | 14:56 |
| gjm | nie zapomnij zrestartować | 14:56 |
| gjm | usługi | 14:56 |
| F1tzgera1d | ok | 14:57 |
| Voldenet | możesz też przy port forwardingu którymś przemieniać porty | 14:57 |
| drathir | Voldenet: ustawiasz tylko klucz i niech sie dobijaja... | 14:58 |
| Voldenet | otóż to :D | 14:58 |
| drathir | Voldenet: Voldenet szkoda, ze reklam na to nie da sie ustawic ;p | 14:59 |
| Voldenet | :-) | 14:59 |
| Voldenet | z doświadczenia wiem, że chińskie boty jednak nie ogarną, jak ustawisz sobie nazwę usera w stylu stefan_batory_1993 | 14:59 |
| drathir | F1tzgera1d: wazniejsze otworz fw przed zreestartowaniem ^^ | 15:00 |
| drathir | Voldenet: to oni leca po innych niz root ? ^^ | 15:00 |
| Voldenet | lecą | 15:00 |
| Voldenet | stefanie, joseph, johny | 15:01 |
| Voldenet | printer | 15:01 |
| drathir | ze im sie chce;p | 15:01 |
| Voldenet | admin, assistant | 15:01 |
| gjm | pi | 15:01 |
| Voldenet | :D | 15:01 |
| F1tzgera1d | fw? | 15:01 |
| Voldenet | F1tzgera1d: port forward | 15:01 |
| drathir | F1tzgera1d: firewall ufw albo iptables zalezy co uzywasz... | 15:01 |
| Voldenet | a, to też | 15:01 |
| F1tzgera1d | aaa no spoko | 15:01 |
| Voldenet | i potem zapisz stan firewalli ;) | 15:01 |
| Voldenet | żeby po restarcie cię nie wycięło | 15:02 |
| Voldenet | iptables-save > /etc/iptables.up.rules | 15:02 |
| Voldenet | czy coś takiego | 15:02 |
| drathir | w sumie zawsze 22 tez mozna gdzies przekierowac ;p np do kaczek... | 15:02 |
| F1tzgera1d | ok | 15:02 |
| Voldenet | drathir: można sobie ustawić reverse forwarding na socketa | 15:03 |
| Voldenet | :-) | 15:03 |
| Voldenet | wtedy jesteś "impenetrable fortress" | 15:03 |
| gjm | a najlepiej to znukować chiny | 15:03 |
| Voldenet | gjm++ | 15:03 |
| Voldenet | Najlepiej to gdyby Gandhi był władcą Indii ;-) | 15:04 |
| Voldenet | bo Chiny akurat byłyby sąsiadami | 15:04 |
| Voldenet | więc problem z głowy | 15:04 |
| drathir | Voldenet: sa tez te magic pakiety co nawet nie wywesza, ze dziala/slucha ssh na sewerze, bo trzeba znac magiczny handshake zeby poznac, ze swoj ;p | 15:05 |
| gjm | 16:51 <@gjm> port knocking | 15:05 |
| Voldenet | gjm: port knocking to nie magiczny pakiet :D | 15:05 |
| drathir | ale i tak najlepsze pro security jak sie odetnie samego siebie od servera ;p | 15:06 |
| gjm | a magic packet robi co innego | 15:06 |
| Voldenet | drathir: nawet nie wiesz jakie są jajca, jak fail2ban wytnie Ciebie samego :D | 15:07 |
| Voldenet | i musisz czekać godzinę albo dobę | 15:07 |
| Voldenet | albo tydzień | 15:07 |
| Voldenet | od kiedy mi się to zdarzyło nie używam nigdy haseł zdalnie | 15:07 |
| Voldenet | Nigdy. | 15:07 |
| drathir | Voldenet: ;p /me sie juz nauczyl i dodaje zaufany server zawsze do whitelisty ;p zawsze w razie w sie dostane... | 15:08 |
| Voldenet | No, na szczęście rozwiązaniem jest wbicie z innego serwera :D | 15:08 |
| Voldenet | ssh-over-ssh-over-ssh | 15:08 |
| drathir | bo tak to jedynie torem/vpn-em jak ma sie pod reka na szybko da obejsc... | 15:08 |
| Voldenet | drathir: tak na szybko to można na azure zrobić wirtualkę z ubuntu | 15:09 |
| drathir | Voldenet: jaja to sa jak ludzi blokuje po kluczach ^^ | 15:09 |
| Voldenet | albo jakimś innym trialu | 15:09 |
| Voldenet | Ale jednak najśmieszniej jest jak ubijesz maszynę i się nie podnosi. | 15:10 |
| drathir | Voldenet: w sensie, ze ludzie nie daja per server konfiguracji tylko walna 5 kluczy na * i po 3 pa pa czesto ;p | 15:10 |
| Voldenet | Lol, używanie tego samego klucza... | 15:10 |
| Voldenet | Szkoda, że nadal ludzie nie rozumieją, że para kluczy identyfikuje jedno połączenie i się raczej ich nie duplikuje | 15:11 |
| drathir | co do tego samego klucza plusy i minusy do plusa mozna zaliczyc, ze w razie w jak wycieknie lecisz automatem i wszystkie Ci podmienia, a minus, ze wszystkie maszyny narazone w razie w... | 15:12 |
| drathir | Voldenet: problemy sie zaczynaja jak tmuxy sie tak mieszaja, ze wlasciwego nie mozesz trafic... ;p | 15:13 |
| * drathir tam stara sie 3 w jednym oknie nie przekraczac, bo sie mieszac tez zaczynaja powoli... | 15:14 | |
| drathir | pozniej sie zastanawiasz ile razy b wcisnales ;p | 15:15 |
| gjm | >tmux | 15:15 |
| gjm | >b | 15:15 |
| gjm | on nie przemapował na a | 15:15 |
| gjm | ,_, | 15:15 |
| drathir | a mam na dodatkowych 3 oknach screena ;p | 15:16 |
| drathir | niestety nie kazdy server tmuxa ma jak tez nie kazdy stary tel lubi tmuxa niektore wola screena... | 15:17 |
| F1tzgera1d | porcik zmieniony teraz przy domyslnym logowaniu jest port 22: Connection refused ;-) i git | 15:21 |
| F1tzgera1d | teraz druga sprawa... macie jakieś dobre regułki pod iptables do tego? wiem że bede musiał edytować swój port nowy | 15:23 |
| gjm | do czego? | 15:24 |
| gjm | ustaw sobie w ~/.ssh/config | 15:24 |
| F1tzgera1d | do firewalla | 15:24 |
| F1tzgera1d | nie mam go ustawionego ;D | 15:25 |
| Voldenet | no i warto mieć w .bashrc coś w stylu PROMPT_COMMAND='echo -ne "\033]0;${USER}@${HOSTNAME}:${PWD}\007\033k`~/termtitle`\033\\"' | 15:27 |
| gjm | nie wiem co ty tworzysz | 15:27 |
| F1tzgera1d | nie mam reguł w firewallu na vps | 15:27 |
| F1tzgera1d | mam domyslne g.....jakies | 15:27 |
| gjm | Voldenet: ja mam różne kolory promta dla różnych serwerów dodatkowo | 15:27 |
| Voldenet | gjm: tego nie mam, po nazwie hosta poznaję | 15:28 |
| * drathir tam ma cjdnsa-a do kazdego... | 15:28 | |
| drathir | na defcon-a ktos sie wybiera? | 15:29 |
| Voldenet | szkoda czasu, wszystko najciekawsze i tak będzie na hackernews/yt | 15:29 |
| * drathir podejrzewa, ze kanal obok afterparty by przekonalo do conajmniej ponownego rozwazenia ;p | 15:31 | |
| Voldenet | afterparty to cudowne miejsce dla abstynenta | 15:31 |
| Voldenet | TAK SIĘ SOKU NAPIŁEM O STARY | 15:31 |
| drathir | ^^ ta ze na rok materialow na yt bedzie mial ? ;p | 15:32 |
| Voldenet | ;-) | 15:32 |
| Voldenet | Ale rzeczywiście, dobrze jest pójść na firmowe afterparty | 15:33 |
| Voldenet | ludzią się rozwiązują języki i można się dowiedzieć ciekawych sekretów | 15:33 |
| Voldenet | s/ludzią/ludziom/ | 15:33 |
| Voldenet | mi też rozwiązuje się język | 15:33 |
| gjm | a mi sznurówki | 15:33 |
| bastetmilo | lol | 15:40 |
| bastetmilo | pytanie trochę z czapy będzie, ale potrzebuje kupić trochę rzeczy jak cyfrówka, pamięć, może dysk ssd albo case do hdd - jak ludzie rozeznani możecie doradzić w jakim azjatyckim kraju opłaca się kupować? | 15:43 |
| F1tzgera1d | duzo moich znajomych chwali aliexpress | 15:44 |
| bastetmilo | nie, nie, w jakim azjatyckim kraju opłaca się kupować na miejscu. | 15:46 |
| gjm | bastetmilo: chiny i shenzhen | 15:46 |
| gjm | jest nawet książka-przewodnik | 15:47 |
| bastetmilo | gjm: bez wizy to moge tylko do Hongkongu chyba | 15:47 |
| gjm | dają 5-dniowe | 15:48 |
| gjm | http://dangerousprototypes.com/docs/Visit_Shenzhen#Chinese_visa | 15:48 |
| bastetmilo | oo | 15:48 |
| bastetmilo | o, wow | 15:49 |
| drathir | bastetmilo: oooo... witaj... | 15:49 |
| bastetmilo | cześć drathir | 15:51 |
| drathir | bastetmilo: sluzbowo, czy zasluzony odpoczynek w tamtych rejonach ? | 15:52 |
| bastetmilo | żadne | 15:52 |
| bastetmilo | od 8 miesiecy jestem digital nomad | 15:53 |
| drathir | bastetmilo: a t dopieroo ciekawostka ^^ | 15:53 |
| BlessJah | F1tzgera1d: zrób mfa z google authenticatorem | 16:08 |
| F1tzgera1d | na ten moment mam tylko zmieniony port | 16:10 |
| F1tzgera1d | ssh | 16:10 |
| F1tzgera1d | nie wiem jak dostosować na serwerze iptables | 16:10 |
| BlessJah | security by obscurity, daje ci tylko tyle ze w logach mniej wpisow od azjatow | 16:11 |
| F1tzgera1d | zeby smigało tylko openvpn i polaczenie tym jednym portem ssh | 16:11 |
| BlessJah | jesli debian/ubuntu to ufw mozesz uzyc i pozwalac tylko na polaczenia z sieci z ktorych spodziewasz sie laczyc | 16:12 |
| F1tzgera1d | http://pomoc.ovh.pl/Firewall tu jest fajny poradnik tylko potrzebna modyfikacja pod openvpn | 16:13 |
| F1tzgera1d | openvpn działa na porcie 1194 udp? | 16:14 |
| BlessJah | jesli nie wiesz jak zrobic w iptables to nie rób w iptables, zrób w ufw | 16:16 |
| BlessJah | ufw allow 22/tcp ; ufw enable i zrobionie | 16:17 |
| jacekowski | bastetmilo: tajlandia jest oplacalna tez | 16:56 |
| jacekowski | bastetmilo: tam sony i nikon produkuje i jest tam taniej | 16:56 |
| gjm | no to daleko nie ma | 16:57 |
| F1tzgera1d | BlessJah, spoko, zainstalowałem ufw, dodałem port dla ssh, dla vpn 1194 tcp i udp, dodalem swoje ip, i na urzadzeniach neta brak | 17:37 |
| F1tzgera1d | dodalem tez ufw allow from 10.8.0.0/16 z configa na serwerze | 17:44 |
| BlessJah | jesli tylko ty uzywasz serwera, mozesz dac autoryzacje tylko po kluczu no i polecam MFA | 17:45 |
| F1tzgera1d | no dobra ale jak juz robie ufw wolalbym zrobic zeby banglało;) | 17:46 |
| BlessJah | z ufw i ssh na niestandardowym portcie musisz ostroznie | 17:50 |
| BlessJah | ufw bedzie sie staralo nie zablokowac ci ssh, ale nie wiem czy ogarnie ze to inny port | 17:50 |
| F1tzgera1d | ogarnia | 17:50 |
| F1tzgera1d | mam dostep do serwera mimo ze nie mam neta na urzadzeniach | 17:51 |
| F1tzgera1d | zeby miec dostep do ssh dodalem ufw allow nowyportssh/tcp | 17:52 |
| drathir | F1tzgera1d: ufw w zupelnosci Ci wystarczy, nawet bgp daje rade pod ufw jeszcze opanowac ;p | 17:52 |
| F1tzgera1d | drathir, ale reguły cos nie pasuja bo nie ma neta | 17:52 |
| F1tzgera1d | ufw allow 1194/udp , ufw allow 1194/tcp, ufw allow ssh/tcp , ufw allow MójIP, ufw allow from 10.8.0.0/16 | 17:54 |
| drathir | musze zerknac ale potrzebujesz forwardinga z tun0 na vnet0 o ile dobrze pamietam... | 17:54 |
| F1tzgera1d | takie regułki mam | 17:54 |
| F1tzgera1d | na vps | 17:55 |
| drathir | nom... | 17:55 |
| drathir | cos podobne do: | 17:57 |
| drathir | iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 10.9.8.0/24 -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE | 17:57 |
| F1tzgera1d | dobra zrobilem | 18:01 |
| F1tzgera1d | /etc/default/ufw ->DEFAULT_OUTPUT_POLICY="ACCEPT" | 18:02 |
| F1tzgera1d | dzieki pany za wszelką pomoc i sugestie | 18:13 |
| F1tzgera1d | znowu sie czegos nowego nauczylem ;-) | 18:13 |
| TheNumb | systemctl disable ufw | 18:44 |
| TheNumb | i sam pisz reguły iptables | 18:44 |
| F1tzgera1d | próbowalem ale w ufw chyba łatwiej | 18:54 |
| BlessJah | TheNumb: tylko po co? póki nie robisz nic ponad zamykanie portów nie ma sensu | 18:55 |
| BlessJah | zwłaszcza jak nie znasz | 18:55 |
| F1tzgera1d | duze jest ryzyko ze jakies boty beda sie probowaly wbić? | 19:10 |
| gjm | obserwuj logi | 19:11 |
| F1tzgera1d | o lol proby logowania z usa i wietnamu | 19:29 |
| BlessJah | na zmienionym porcie? | 19:33 |
| F1tzgera1d | tak | 19:33 |
| F1tzgera1d | dwie próby tylko | 19:34 |
| gjm | przypadkiem trafili | 19:34 |
| F1tzgera1d | to ciekawe ile było prób na porcie 22 | 19:34 |
| F1tzgera1d | pewnie w uj | 19:35 |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!