[14:50] <F1tzgera1d> sa jakies sposoby na poprawe bezpieczenstwa swojego vps poza fail2ban i w miare długim hasłem?
[14:51] <gjm> logowanie po kluczu
[14:51] <gjm> port knocking
[14:51] <F1tzgera1d> czytałem cos o logowaniu po kluczu właśnie
[14:52] <Voldenet> knockd jest
[14:52] <Voldenet> ustaw ssh na innym porcie
[14:52] <gjm> o, to też
[14:53] <Voldenet> w sumie ustawiaj wszystkie usługi zdalne na niedomyślnych portach
[14:53] <Voldenet> odkąd to mam, to fail2ban mi niepotrzebny
[14:53] <F1tzgera1d> a jakie jest ryzyko ze cos zepsuje i strace dostep do maszyny? ;-)
[14:53] <Voldenet> jak miałem na 22, to bez fail2ban miałem kilka tysięcy "wizytantów" dziennie :)
[14:53] <gjm> same here
[14:54] <Voldenet> nie wiem
[14:54] <Voldenet> z logowaniem kluczem to najpierw możesz ustawić je jako opcję
[14:54] <Voldenet> a potem poprawić
[14:54] <Voldenet> ale i tak zepsuć się da
[14:54] <F1tzgera1d> a jak zmienić ten port? domyslny chyba jest 22?
[14:55] <gjm> w sshd_config
[14:55] <Voldenet> Port 34893
[14:55] <gjm> teraz cię shaksoruję
[14:55] <Voldenet> :D
[14:55] <F1tzgera1d> :D
[14:55] <Voldenet> sam mam inny, gjm :D
[14:55] <Voldenet> i u mnie tylko zdalnie z kluczem :D
[14:56] <F1tzgera1d> a ten port sie zmiania tylko na kliencie czy na serwerze tez cos trzeba zmianiac?
[14:56] <gjm> lol
[14:56] <F1tzgera1d> no lol wiem
[14:56] <F1tzgera1d> :D
[14:56] <gjm> 16:55 <@gjm> w sshd_config
[14:56] <Voldenet> na serwerze
[14:56] <F1tzgera1d> ok
[14:56] <gjm> czyli na serwersze
[14:56] <gjm> serwerze
[14:56] <F1tzgera1d> dzieki;D
[14:56] <gjm> nie zapomnij zrestartować
[14:56] <gjm> usługi
[14:57] <F1tzgera1d> ok
[14:57] <Voldenet> możesz też przy port forwardingu którymś przemieniać porty
[14:58] <drathir> Voldenet: ustawiasz tylko klucz i niech sie dobijaja...
[14:58] <Voldenet> otóż to :D
[14:59] <drathir> Voldenet: Voldenet szkoda, ze reklam na to nie da sie ustawic ;p
[14:59] <Voldenet> :-)
[14:59] <Voldenet> z doświadczenia wiem, że chińskie boty jednak nie ogarną, jak ustawisz sobie nazwę usera w stylu stefan_batory_1993
[15:00] <drathir> F1tzgera1d: wazniejsze otworz fw przed zreestartowaniem ^^
[15:00] <drathir> Voldenet: to oni leca po innych niz root ? ^^
[15:00] <Voldenet> lecą
[15:01] <Voldenet> stefanie, joseph, johny
[15:01] <Voldenet> printer
[15:01] <drathir> ze im sie chce;p
[15:01] <Voldenet> admin, assistant
[15:01] <gjm> pi
[15:01] <Voldenet> :D
[15:01] <F1tzgera1d> fw?
[15:01] <Voldenet> F1tzgera1d: port forward
[15:01] <drathir> F1tzgera1d: firewall ufw albo iptables zalezy co uzywasz...
[15:01] <Voldenet> a, to też
[15:01] <F1tzgera1d> aaa no spoko
[15:01] <Voldenet> i potem zapisz stan firewalli ;)
[15:02] <Voldenet> żeby po restarcie cię nie wycięło
[15:02] <Voldenet> iptables-save > /etc/iptables.up.rules
[15:02] <Voldenet> czy coś takiego
[15:02] <drathir> w sumie zawsze 22 tez mozna gdzies przekierowac ;p np do kaczek...
[15:02] <F1tzgera1d> ok
[15:03] <Voldenet> drathir: można sobie ustawić reverse forwarding na socketa
[15:03] <Voldenet> :-)
[15:03] <Voldenet> wtedy jesteś "impenetrable fortress"
[15:03] <gjm> a najlepiej to znukować chiny
[15:03] <Voldenet> gjm++
[15:04] <Voldenet> Najlepiej to gdyby Gandhi był władcą Indii ;-)
[15:04] <Voldenet> bo Chiny akurat byłyby sąsiadami
[15:04] <Voldenet> więc problem z głowy
[15:05] <drathir> Voldenet: sa tez te magic pakiety co nawet nie wywesza, ze dziala/slucha ssh na sewerze, bo trzeba znac magiczny handshake zeby poznac, ze swoj ;p
[15:05] <gjm> 16:51 <@gjm> port knocking
[15:05] <Voldenet> gjm: port knocking to nie magiczny pakiet :D
[15:06] <drathir> ale i tak najlepsze pro security jak sie odetnie samego siebie od servera ;p
[15:06] <gjm> a magic packet robi co innego
[15:07] <Voldenet> drathir: nawet nie wiesz jakie są jajca, jak fail2ban wytnie Ciebie samego :D
[15:07] <Voldenet> i musisz czekać godzinę albo dobę
[15:07] <Voldenet> albo tydzień
[15:07] <Voldenet> od kiedy mi się to zdarzyło nie używam nigdy haseł zdalnie
[15:07] <Voldenet> Nigdy.
[15:08] <drathir> Voldenet: ;p /me sie juz nauczyl i dodaje zaufany server zawsze do whitelisty ;p zawsze w razie w sie dostane...
[15:08] <Voldenet> No, na szczęście rozwiązaniem jest wbicie z innego serwera :D
[15:08] <Voldenet> ssh-over-ssh-over-ssh
[15:08] <drathir> bo tak to jedynie torem/vpn-em jak ma sie pod reka na szybko da obejsc...
[15:09] <Voldenet> drathir: tak na szybko to można na azure zrobić wirtualkę z ubuntu
[15:09] <drathir> Voldenet: jaja to sa jak ludzi blokuje po kluczach ^^
[15:09] <Voldenet> albo jakimś innym trialu
[15:10] <Voldenet> Ale jednak najśmieszniej jest jak ubijesz maszynę i się nie podnosi.
[15:10] <drathir> Voldenet: w sensie, ze ludzie nie daja per server konfiguracji tylko walna 5 kluczy na * i po 3 pa pa czesto ;p
[15:10] <Voldenet> Lol, używanie tego samego klucza...
[15:11] <Voldenet> Szkoda, że nadal ludzie nie rozumieją, że para kluczy identyfikuje jedno połączenie i się raczej ich nie duplikuje
[15:12] <drathir> co do tego samego klucza plusy i minusy do plusa mozna zaliczyc, ze w razie w jak wycieknie lecisz automatem i wszystkie Ci podmienia, a minus, ze wszystkie maszyny narazone w razie w...
[15:13] <drathir> Voldenet: problemy sie zaczynaja jak tmuxy sie tak mieszaja, ze wlasciwego nie mozesz trafic... ;p
[15:14]  * drathir tam stara sie 3 w jednym oknie nie przekraczac, bo sie mieszac tez zaczynaja powoli...
[15:15] <drathir> pozniej sie zastanawiasz ile razy b wcisnales ;p
[15:15] <gjm> >tmux
[15:15] <gjm> >b
[15:15] <gjm> on nie przemapował na a
[15:15] <gjm> ,_,
[15:16] <drathir> a mam na dodatkowych 3 oknach screena ;p
[15:17] <drathir> niestety nie kazdy server tmuxa ma jak tez nie kazdy stary tel lubi tmuxa niektore wola screena...
[15:21] <F1tzgera1d> porcik zmieniony teraz przy domyslnym logowaniu jest port 22: Connection refused ;-) i git
[15:23] <F1tzgera1d> teraz druga sprawa... macie jakieś dobre regułki pod iptables do tego? wiem że bede musiał edytować swój port nowy
[15:24] <gjm> do czego?
[15:24] <gjm> ustaw sobie w ~/.ssh/config
[15:24] <F1tzgera1d> do firewalla
[15:25] <F1tzgera1d> nie mam go ustawionego ;D
[15:27] <Voldenet> no i warto mieć w .bashrc coś w stylu PROMPT_COMMAND='echo -ne "\033]0;${USER}@${HOSTNAME}:${PWD}\007\033k`~/termtitle`\033\\"'
[15:27] <gjm> nie wiem co ty tworzysz
[15:27] <F1tzgera1d> nie mam reguł w firewallu na vps
[15:27] <F1tzgera1d> mam domyslne g.....jakies
[15:27] <gjm> Voldenet: ja mam różne kolory promta dla różnych serwerów dodatkowo
[15:28] <Voldenet> gjm: tego nie mam, po nazwie hosta poznaję
[15:28]  * drathir tam ma cjdnsa-a do kazdego...
[15:29] <drathir> na defcon-a ktos sie wybiera?
[15:29] <Voldenet> szkoda czasu, wszystko najciekawsze i tak będzie na hackernews/yt
[15:31]  * drathir podejrzewa, ze kanal obok afterparty by przekonalo do conajmniej ponownego rozwazenia ;p
[15:31] <Voldenet> afterparty to cudowne miejsce dla abstynenta
[15:31] <Voldenet> TAK SIĘ SOKU NAPIŁEM O STARY
[15:32] <drathir> ^^ ta ze na rok materialow na yt bedzie mial ? ;p
[15:32] <Voldenet> ;-)
[15:33] <Voldenet> Ale rzeczywiście, dobrze jest pójść na firmowe afterparty
[15:33] <Voldenet> ludzią się rozwiązują języki i można się dowiedzieć ciekawych sekretów
[15:33] <Voldenet> s/ludzią/ludziom/
[15:33] <Voldenet> mi też rozwiązuje się język
[15:33] <gjm> a mi sznurówki
[15:40] <bastetmilo> lol
[15:43] <bastetmilo> pytanie trochę z czapy będzie, ale potrzebuje kupić trochę rzeczy jak cyfrówka, pamięć, może dysk ssd albo case do hdd - jak ludzie rozeznani możecie doradzić w jakim azjatyckim kraju opłaca się kupować?
[15:44] <F1tzgera1d> duzo moich znajomych chwali aliexpress
[15:46] <bastetmilo> nie, nie, w jakim azjatyckim kraju opłaca się kupować na miejscu.
[15:46] <gjm> bastetmilo: chiny i shenzhen
[15:47] <gjm> jest nawet książka-przewodnik
[15:47] <bastetmilo> gjm: bez wizy to moge tylko do Hongkongu chyba
[15:48] <gjm> dają 5-dniowe
[15:48] <gjm> http://dangerousprototypes.com/docs/Visit_Shenzhen#Chinese_visa
[15:48] <bastetmilo> oo
[15:49] <bastetmilo> o, wow
[15:49] <drathir> bastetmilo: oooo... witaj...
[15:51] <bastetmilo> cześć drathir
[15:52] <drathir> bastetmilo: sluzbowo, czy zasluzony odpoczynek w tamtych rejonach ?
[15:52] <bastetmilo> żadne
[15:53] <bastetmilo> od 8 miesiecy jestem digital nomad
[15:53] <drathir> bastetmilo: a t dopieroo ciekawostka ^^
[16:08] <BlessJah> F1tzgera1d: zrób mfa z google authenticatorem
[16:10] <F1tzgera1d> na ten moment mam tylko zmieniony port
[16:10] <F1tzgera1d> ssh
[16:10] <F1tzgera1d> nie wiem jak dostosować na serwerze iptables
[16:11] <BlessJah> security by obscurity, daje ci tylko tyle ze w logach mniej wpisow od azjatow
[16:11] <F1tzgera1d> zeby smigało tylko openvpn i polaczenie tym jednym portem ssh
[16:12] <BlessJah> jesli debian/ubuntu to ufw mozesz uzyc i pozwalac tylko na polaczenia z sieci z ktorych spodziewasz sie laczyc
[16:13] <F1tzgera1d> http://pomoc.ovh.pl/Firewall tu jest fajny poradnik tylko potrzebna modyfikacja pod openvpn
[16:14] <F1tzgera1d> openvpn działa na porcie 1194 udp?
[16:16] <BlessJah> jesli nie wiesz jak zrobic w iptables to nie rób w iptables, zrób w ufw
[16:17] <BlessJah> ufw allow 22/tcp ; ufw enable i zrobionie
[16:56] <jacekowski> bastetmilo: tajlandia jest oplacalna tez
[16:56] <jacekowski> bastetmilo: tam sony i nikon produkuje i jest tam taniej
[16:57] <gjm> no to daleko nie ma
[17:37] <F1tzgera1d> BlessJah, spoko, zainstalowałem ufw, dodałem port dla ssh, dla vpn 1194 tcp i udp, dodalem swoje ip, i na urzadzeniach neta brak
[17:44] <F1tzgera1d> dodalem tez ufw allow from 10.8.0.0/16 z configa na serwerze
[17:45] <BlessJah> jesli tylko ty uzywasz serwera, mozesz dac autoryzacje tylko po kluczu no i polecam MFA
[17:46] <F1tzgera1d> no dobra ale jak juz robie ufw wolalbym zrobic zeby banglało;)
[17:50] <BlessJah> z ufw i ssh na niestandardowym portcie musisz ostroznie
[17:50] <BlessJah> ufw bedzie sie staralo nie zablokowac ci ssh, ale nie wiem czy ogarnie ze to inny port
[17:50] <F1tzgera1d> ogarnia
[17:51] <F1tzgera1d> mam dostep do serwera mimo ze nie mam neta na urzadzeniach
[17:52] <F1tzgera1d> zeby miec dostep do ssh dodalem ufw allow nowyportssh/tcp
[17:52] <drathir> F1tzgera1d: ufw w zupelnosci Ci wystarczy, nawet bgp daje rade pod ufw jeszcze opanowac ;p
[17:52] <F1tzgera1d> drathir, ale reguły cos nie pasuja bo nie ma neta
[17:54] <F1tzgera1d> ufw allow 1194/udp , ufw allow 1194/tcp, ufw allow ssh/tcp , ufw allow MójIP, ufw allow from 10.8.0.0/16
[17:54] <drathir> musze zerknac ale potrzebujesz forwardinga z tun0 na vnet0 o ile dobrze pamietam...
[17:54] <F1tzgera1d> takie regułki mam
[17:55] <F1tzgera1d> na vps
[17:55] <drathir> nom...
[17:57] <drathir> cos podobne do:
[17:57] <drathir> iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 10.9.8.0/24 -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE
[18:01] <F1tzgera1d> dobra zrobilem
[18:02] <F1tzgera1d> /etc/default/ufw ->DEFAULT_OUTPUT_POLICY="ACCEPT"
[18:13] <F1tzgera1d> dzieki pany za wszelką pomoc i sugestie
[18:13] <F1tzgera1d> znowu sie czegos nowego nauczylem ;-)
[18:44] <TheNumb> systemctl disable ufw
[18:44] <TheNumb> i sam pisz reguły iptables
[18:54] <F1tzgera1d> próbowalem ale w ufw chyba łatwiej
[18:55] <BlessJah> TheNumb: tylko po co? póki nie robisz nic ponad zamykanie portów nie ma sensu
[18:55] <BlessJah> zwłaszcza jak nie znasz
[19:10] <F1tzgera1d> duze jest ryzyko ze jakies boty beda sie probowaly wbić?
[19:11] <gjm> obserwuj logi
[19:29] <F1tzgera1d> o lol proby logowania z usa i wietnamu
[19:33] <BlessJah> na zmienionym porcie?
[19:33] <F1tzgera1d> tak
[19:34] <F1tzgera1d> dwie próby tylko
[19:34] <gjm> przypadkiem trafili
[19:34] <F1tzgera1d> to ciekawe ile było prób na porcie 22
[19:35] <F1tzgera1d> pewnie w uj