[14:50] sa jakies sposoby na poprawe bezpieczenstwa swojego vps poza fail2ban i w miare długim hasłem? [14:51] logowanie po kluczu [14:51] port knocking [14:51] czytałem cos o logowaniu po kluczu właśnie [14:52] knockd jest [14:52] ustaw ssh na innym porcie [14:52] o, to też [14:53] w sumie ustawiaj wszystkie usługi zdalne na niedomyślnych portach [14:53] odkąd to mam, to fail2ban mi niepotrzebny [14:53] a jakie jest ryzyko ze cos zepsuje i strace dostep do maszyny? ;-) [14:53] jak miałem na 22, to bez fail2ban miałem kilka tysięcy "wizytantów" dziennie :) [14:53] same here [14:54] nie wiem [14:54] z logowaniem kluczem to najpierw możesz ustawić je jako opcję [14:54] a potem poprawić [14:54] ale i tak zepsuć się da [14:54] a jak zmienić ten port? domyslny chyba jest 22? [14:55] w sshd_config [14:55] Port 34893 [14:55] teraz cię shaksoruję [14:55] :D [14:55] :D [14:55] sam mam inny, gjm :D [14:55] i u mnie tylko zdalnie z kluczem :D [14:56] a ten port sie zmiania tylko na kliencie czy na serwerze tez cos trzeba zmianiac? [14:56] lol [14:56] no lol wiem [14:56] :D [14:56] 16:55 <@gjm> w sshd_config [14:56] na serwerze [14:56] ok [14:56] czyli na serwersze [14:56] serwerze [14:56] dzieki;D [14:56] nie zapomnij zrestartować [14:56] usługi [14:57] ok [14:57] możesz też przy port forwardingu którymś przemieniać porty [14:58] Voldenet: ustawiasz tylko klucz i niech sie dobijaja... [14:58] otóż to :D [14:59] Voldenet: Voldenet szkoda, ze reklam na to nie da sie ustawic ;p [14:59] :-) [14:59] z doświadczenia wiem, że chińskie boty jednak nie ogarną, jak ustawisz sobie nazwę usera w stylu stefan_batory_1993 [15:00] F1tzgera1d: wazniejsze otworz fw przed zreestartowaniem ^^ [15:00] Voldenet: to oni leca po innych niz root ? ^^ [15:00] lecą [15:01] stefanie, joseph, johny [15:01] printer [15:01] ze im sie chce;p [15:01] admin, assistant [15:01] pi [15:01] :D [15:01] fw? [15:01] F1tzgera1d: port forward [15:01] F1tzgera1d: firewall ufw albo iptables zalezy co uzywasz... [15:01] a, to też [15:01] aaa no spoko [15:01] i potem zapisz stan firewalli ;) [15:02] żeby po restarcie cię nie wycięło [15:02] iptables-save > /etc/iptables.up.rules [15:02] czy coś takiego [15:02] w sumie zawsze 22 tez mozna gdzies przekierowac ;p np do kaczek... [15:02] ok [15:03] drathir: można sobie ustawić reverse forwarding na socketa [15:03] :-) [15:03] wtedy jesteś "impenetrable fortress" [15:03] a najlepiej to znukować chiny [15:03] gjm++ [15:04] Najlepiej to gdyby Gandhi był władcą Indii ;-) [15:04] bo Chiny akurat byłyby sąsiadami [15:04] więc problem z głowy [15:05] Voldenet: sa tez te magic pakiety co nawet nie wywesza, ze dziala/slucha ssh na sewerze, bo trzeba znac magiczny handshake zeby poznac, ze swoj ;p [15:05] 16:51 <@gjm> port knocking [15:05] gjm: port knocking to nie magiczny pakiet :D [15:06] ale i tak najlepsze pro security jak sie odetnie samego siebie od servera ;p [15:06] a magic packet robi co innego [15:07] drathir: nawet nie wiesz jakie są jajca, jak fail2ban wytnie Ciebie samego :D [15:07] i musisz czekać godzinę albo dobę [15:07] albo tydzień [15:07] od kiedy mi się to zdarzyło nie używam nigdy haseł zdalnie [15:07] Nigdy. [15:08] Voldenet: ;p /me sie juz nauczyl i dodaje zaufany server zawsze do whitelisty ;p zawsze w razie w sie dostane... [15:08] No, na szczęście rozwiązaniem jest wbicie z innego serwera :D [15:08] ssh-over-ssh-over-ssh [15:08] bo tak to jedynie torem/vpn-em jak ma sie pod reka na szybko da obejsc... [15:09] drathir: tak na szybko to można na azure zrobić wirtualkę z ubuntu [15:09] Voldenet: jaja to sa jak ludzi blokuje po kluczach ^^ [15:09] albo jakimś innym trialu [15:10] Ale jednak najśmieszniej jest jak ubijesz maszynę i się nie podnosi. [15:10] Voldenet: w sensie, ze ludzie nie daja per server konfiguracji tylko walna 5 kluczy na * i po 3 pa pa czesto ;p [15:10] Lol, używanie tego samego klucza... [15:11] Szkoda, że nadal ludzie nie rozumieją, że para kluczy identyfikuje jedno połączenie i się raczej ich nie duplikuje [15:12] co do tego samego klucza plusy i minusy do plusa mozna zaliczyc, ze w razie w jak wycieknie lecisz automatem i wszystkie Ci podmienia, a minus, ze wszystkie maszyny narazone w razie w... [15:13] Voldenet: problemy sie zaczynaja jak tmuxy sie tak mieszaja, ze wlasciwego nie mozesz trafic... ;p [15:14] * drathir tam stara sie 3 w jednym oknie nie przekraczac, bo sie mieszac tez zaczynaja powoli... [15:15] pozniej sie zastanawiasz ile razy b wcisnales ;p [15:15] >tmux [15:15] >b [15:15] on nie przemapował na a [15:15] ,_, [15:16] a mam na dodatkowych 3 oknach screena ;p [15:17] niestety nie kazdy server tmuxa ma jak tez nie kazdy stary tel lubi tmuxa niektore wola screena... [15:21] porcik zmieniony teraz przy domyslnym logowaniu jest port 22: Connection refused ;-) i git [15:23] teraz druga sprawa... macie jakieś dobre regułki pod iptables do tego? wiem że bede musiał edytować swój port nowy [15:24] do czego? [15:24] ustaw sobie w ~/.ssh/config [15:24] do firewalla [15:25] nie mam go ustawionego ;D [15:27] no i warto mieć w .bashrc coś w stylu PROMPT_COMMAND='echo -ne "\033]0;${USER}@${HOSTNAME}:${PWD}\007\033k`~/termtitle`\033\\"' [15:27] nie wiem co ty tworzysz [15:27] nie mam reguł w firewallu na vps [15:27] mam domyslne g.....jakies [15:27] Voldenet: ja mam różne kolory promta dla różnych serwerów dodatkowo [15:28] gjm: tego nie mam, po nazwie hosta poznaję [15:28] * drathir tam ma cjdnsa-a do kazdego... [15:29] na defcon-a ktos sie wybiera? [15:29] szkoda czasu, wszystko najciekawsze i tak będzie na hackernews/yt [15:31] * drathir podejrzewa, ze kanal obok afterparty by przekonalo do conajmniej ponownego rozwazenia ;p [15:31] afterparty to cudowne miejsce dla abstynenta [15:31] TAK SIĘ SOKU NAPIŁEM O STARY [15:32] ^^ ta ze na rok materialow na yt bedzie mial ? ;p [15:32] ;-) [15:33] Ale rzeczywiście, dobrze jest pójść na firmowe afterparty [15:33] ludzią się rozwiązują języki i można się dowiedzieć ciekawych sekretów [15:33] s/ludzią/ludziom/ [15:33] mi też rozwiązuje się język [15:33] a mi sznurówki [15:40] lol [15:43] pytanie trochę z czapy będzie, ale potrzebuje kupić trochę rzeczy jak cyfrówka, pamięć, może dysk ssd albo case do hdd - jak ludzie rozeznani możecie doradzić w jakim azjatyckim kraju opłaca się kupować? [15:44] duzo moich znajomych chwali aliexpress [15:46] nie, nie, w jakim azjatyckim kraju opłaca się kupować na miejscu. [15:46] bastetmilo: chiny i shenzhen [15:47] jest nawet książka-przewodnik [15:47] gjm: bez wizy to moge tylko do Hongkongu chyba [15:48] dają 5-dniowe [15:48] http://dangerousprototypes.com/docs/Visit_Shenzhen#Chinese_visa [15:48] oo [15:49] o, wow [15:49] bastetmilo: oooo... witaj... [15:51] cześć drathir [15:52] bastetmilo: sluzbowo, czy zasluzony odpoczynek w tamtych rejonach ? [15:52] żadne [15:53] od 8 miesiecy jestem digital nomad [15:53] bastetmilo: a t dopieroo ciekawostka ^^ [16:08] F1tzgera1d: zrób mfa z google authenticatorem [16:10] na ten moment mam tylko zmieniony port [16:10] ssh [16:10] nie wiem jak dostosować na serwerze iptables [16:11] security by obscurity, daje ci tylko tyle ze w logach mniej wpisow od azjatow [16:11] zeby smigało tylko openvpn i polaczenie tym jednym portem ssh [16:12] jesli debian/ubuntu to ufw mozesz uzyc i pozwalac tylko na polaczenia z sieci z ktorych spodziewasz sie laczyc [16:13] http://pomoc.ovh.pl/Firewall tu jest fajny poradnik tylko potrzebna modyfikacja pod openvpn [16:14] openvpn działa na porcie 1194 udp? [16:16] jesli nie wiesz jak zrobic w iptables to nie rób w iptables, zrób w ufw [16:17] ufw allow 22/tcp ; ufw enable i zrobionie [16:56] bastetmilo: tajlandia jest oplacalna tez [16:56] bastetmilo: tam sony i nikon produkuje i jest tam taniej [16:57] no to daleko nie ma [17:37] BlessJah, spoko, zainstalowałem ufw, dodałem port dla ssh, dla vpn 1194 tcp i udp, dodalem swoje ip, i na urzadzeniach neta brak [17:44] dodalem tez ufw allow from 10.8.0.0/16 z configa na serwerze [17:45] jesli tylko ty uzywasz serwera, mozesz dac autoryzacje tylko po kluczu no i polecam MFA [17:46] no dobra ale jak juz robie ufw wolalbym zrobic zeby banglało;) [17:50] z ufw i ssh na niestandardowym portcie musisz ostroznie [17:50] ufw bedzie sie staralo nie zablokowac ci ssh, ale nie wiem czy ogarnie ze to inny port [17:50] ogarnia [17:51] mam dostep do serwera mimo ze nie mam neta na urzadzeniach [17:52] zeby miec dostep do ssh dodalem ufw allow nowyportssh/tcp [17:52] F1tzgera1d: ufw w zupelnosci Ci wystarczy, nawet bgp daje rade pod ufw jeszcze opanowac ;p [17:52] drathir, ale reguły cos nie pasuja bo nie ma neta [17:54] ufw allow 1194/udp , ufw allow 1194/tcp, ufw allow ssh/tcp , ufw allow MójIP, ufw allow from 10.8.0.0/16 [17:54] musze zerknac ale potrzebujesz forwardinga z tun0 na vnet0 o ile dobrze pamietam... [17:54] takie regułki mam [17:55] na vps [17:55] nom... [17:57] cos podobne do: [17:57] iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 10.9.8.0/24 -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE [18:01] dobra zrobilem [18:02] /etc/default/ufw ->DEFAULT_OUTPUT_POLICY="ACCEPT" [18:13] dzieki pany za wszelką pomoc i sugestie [18:13] znowu sie czegos nowego nauczylem ;-) [18:44] systemctl disable ufw [18:44] i sam pisz reguły iptables [18:54] próbowalem ale w ufw chyba łatwiej [18:55] TheNumb: tylko po co? póki nie robisz nic ponad zamykanie portów nie ma sensu [18:55] zwłaszcza jak nie znasz [19:10] duze jest ryzyko ze jakies boty beda sie probowaly wbić? [19:11] obserwuj logi [19:29] o lol proby logowania z usa i wietnamu [19:33] na zmienionym porcie? [19:33] tak [19:34] dwie próby tylko [19:34] przypadkiem trafili [19:34] to ciekawe ile było prób na porcie 22 [19:35] pewnie w uj