robert_cz Opublikowano 8 Kwietnia 2015 Udostępnij Opublikowano 8 Kwietnia 2015 Wycięte z wątku Lista błędów w GOS, bo to nie błąd w GOS. Nie wiem co jest, ale z aktualną wersją openssh - 6.7.p1-4 na domyślnym porcie mam co chwilę nowe pliki uruchomieniowe w folderze: /root i /bin np. /bin/ahsnfueirm /root/8005 /root/a06 etc. Virustotal mówi, że to coś takiego: https://www.virustotal.com/cs/file/64eee462375810e00d0b262523a53ee405b274f29451f85cb1f9bcd1497b1f33/analysis/ ahsnfueirm.zip Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 8 Kwietnia 2015 Udostępnij Opublikowano 8 Kwietnia 2015 Mało prawdopodobne by winny był OpenSSH, ale leci właśnie poprawka do wersji 6.8p1 Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
AbrahaM Opublikowano 8 Kwietnia 2015 Udostępnij Opublikowano 8 Kwietnia 2015 Mało prawdopodobne by winny był OpenSSH, ale leci właśnie poprawka do wersji 6.8p1 też tak mi się wydaje, i zastanawia mnie jaki był wektor ataku, mógłbyś napisać, jakie dodatkowe wtyczki miałeś zainstalowane, może będzie się dało porównać z poprzednim takim przypadkiem, też zgłoszonym na forum, o ile Twój poprzednik o tym napisał. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 8 Kwietnia 2015 Autor Udostępnij Opublikowano 8 Kwietnia 2015 Mało prawdopodobne by winny był OpenSSH, ale leci właśnie poprawka do wersji 6.8p1 też tak mi się wydaje, i zastanawia mnie jaki był wektor ataku, mógłbyś napisać, jakie dodatkowe wtyczki miałeś zainstalowane, może będzie się dało porównać z poprzednim takim przypadkiem, też zgłoszonym na forum, o ile Twój poprzednik o tym napisał. Wszędzie klasycznie: iptv + epgimport + mc i nic więcej Nie wiem, może zbieg okoliczności, ale te dziwne pliki znalazłem tylko tam gdzie ssh maiłem na porcie 22, około 6 szt., a wszędzie tam gdzie było na innym porcie, około 4 szt. plików nie było. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 8 Kwietnia 2015 Udostępnij Opublikowano 8 Kwietnia 2015 No bo na zewnątrz nie wystawia się portu 22. To od dawna jest samobójstwo. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 9 Kwietnia 2015 Autor Udostępnij Opublikowano 9 Kwietnia 2015 No bo na zewnątrz nie wystawia się portu 22. To od dawna jest samobójstwo. Zmieniam to ale chwilę to potrwa. Ale to by potwierdzało, że chodzi o OpenSSH i tam jest jakiś błąd. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 9 Kwietnia 2015 Udostępnij Opublikowano 9 Kwietnia 2015 Wcale nie musi to byc blad. Wystarczy haslo slownikowe lub podobne do slownikowego. Jakbys popatrzyl w logi na routerach to bys sie przerazil ile razy ktos potrafi z jednego ip logowac do ssh, ftp czy scp. Oczywiscie proby robione sa na standardowych portach. Jak zgadnie haslo a nie ma zabezpieczenia na ilos prob logowania to... Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
mickey Opublikowano 9 Kwietnia 2015 Udostępnij Opublikowano 9 Kwietnia 2015 No bo na zewnątrz nie wystawia się portu 22. To od dawna jest samobójstwo. Trochę za ostro moim zdaniem... Jeżeli nie ma dziury w oprogramowaniu i hasła są odpowiednio długie i nie słownikowe, to nie widzę powodu, żeby się przejmować portem. O to drugie można zadbać. Na to pierwsze trudniej poradzić a zmiana portu to tylko obejście problemu a nie rozwiązanie. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 9 Kwietnia 2015 Udostępnij Opublikowano 9 Kwietnia 2015 Hasła to jest logiczne, że muszą nie być słownikowe. Jednak patrzenie jak ktoś toś Ci się na porcie 22 dobija pół dnia szukając hasła to już fajne nie jest. Dlatego na usługach, gdzie w logach widzę systematycznie powtarzające się schematy zmieniam porty, przy okazji zachowując resztę polityki bezpieczeństwa tak jak to @mickey opisał. Jakbym się uparł to odnajdę logi sprzed kilku lat jak wygląda takie szukanie haseł i notoryczne próby logowania się. Poza tym preferuję wystawienie ssh na porcie XYZ na routerze/serwerze z porządnym hasłem i nowym softem i dalej logowanie się po sieci lokalnej. Unikajmy wystawiania na zewnątrz naszej sieci lokalnej. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 9 Kwietnia 2015 Autor Udostępnij Opublikowano 9 Kwietnia 2015 Hasła to jest logiczne, że muszą nie być słownikowe. Jednak patrzenie jak ktoś toś Ci się na porcie 22 dobija pół dnia szukając hasła to już fajne nie jest. Dlatego na usługach, gdzie w logach widzę systematycznie powtarzające się schematy zmieniam porty, przy okazji zachowując resztę polityki bezpieczeństwa tak jak to @mickey opisał. Jakbym się uparł to odnajdę logi sprzed kilku lat jak wygląda takie szukanie haseł i notoryczne próby logowania się. Poza tym preferuję wystawienie ssh na porcie XYZ na routerze/serwerze z porządnym hasłem i nowym softem i dalej logowanie się po sieci lokalnej. Unikajmy wystawiania na zewnątrz naszej sieci lokalnej. to może zmiana domyślnej konfiguracji żaby po trzecim złym haśle dawało bana na 15 min.? albo rezygnacja z roota ("PermitRootLogin no") do ssh i zrobienie osobnego użytkownika np. graterlia z prawami root-a do logowania przez ssh właśnie? Może domyślne: MaxSessions Specifies the maximum number of open sessions permitted per net- work connection. The default is 10. zredukować do 3, moim zdaniem spokojnie wystarczy, MaxAuthTries Specifies the maximum number of authentication attempts permitted per connection. Once the number of failures reaches half this value, additional failures are logged. The default is 6. To można by też zmniejszyć do 3 np. MaxAuthTries Specifies the maximum number of authentication attempts permitted per connection. Once the number of failures reaches half this value, additional failures are logged. The default is 6. takie moje propozycje. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
AbrahaM Opublikowano 9 Kwietnia 2015 Udostępnij Opublikowano 9 Kwietnia 2015 Hasła to jest logiczne, że muszą nie być słownikowe. Jedno z możliwych wyjaśnień tego, co się mogło stać: http://niebezpiecznik.pl/post/opis-grupy-atakujacej-ssh/ W związku z powyższym mocno zalecam, by osoby wystawiające odbiorniki "na świat" zrezygnowały z haseł które wydają im się że są bezpieczne i wygenerowały coś solidnego. Choćby przy pomocy http://www.dobrehaslo.pl/ sam tą stronę stosuje, wybierając "preset" dla paranoików, wyłączając znaki specjalne, a także zmieniając "małe litery" oraz "cyfry" na "małe litery i cyfry bez i,l,o,0,1". I oczywiście paranoicznie zmieniam jeszcze u siebie wygenerowany ciąg, przestawiając fragmenty tego co strona wypluła. Odpukać żaden z odbiorników, na których zastosowałem tego kalibru hasła nie został zainfekowany, a administruje nimi przez net już przeszło pół roku. Osobna sprawa, że każdy z nich inny zestaw dodatków niż @robert_cz. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 10 Kwietnia 2015 Autor Udostępnij Opublikowano 10 Kwietnia 2015 Hasła to jest logiczne, że muszą nie być słownikowe. Jedno z możliwych wyjaśnień tego, co się mogło stać: http://niebezpiecznik.pl/post/opis-grupy-atakujacej-ssh/ W związku z powyższym mocno zalecam, by osoby wystawiające odbiorniki "na świat" zrezygnowały z haseł które wydają im się że są bezpieczne i wygenerowały coś solidnego. Choćby przy pomocy http://www.dobrehaslo.pl/ sam tą stronę stosuje, wybierając "preset" dla paranoików, wyłączając znaki specjalne, a także zmieniając "małe litery" oraz "cyfry" na "małe litery i cyfry bez i,l,o,0,1". I oczywiście paranoicznie zmieniam jeszcze u siebie wygenerowany ciąg, przestawiając fragmenty tego co strona wypluła. Odpukać żaden z odbiorników, na których zastosowałem tego kalibru hasła nie został zainfekowany, a administruje nimi przez net już przeszło pół roku. Osobna sprawa, że każdy z nich inny zestaw dodatków niż @robert_cz. Potwierdzam, padłem ofiarą tegoo właśnie ataku. Co Wy na to żeby jednak zablokować roota w ssh? Zwiększyło by to odpornośna ten właśnie rodzaj ataku. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 10 Kwietnia 2015 Udostępnij Opublikowano 10 Kwietnia 2015 Nie zwiększy odporności. Dlaczego? jak ktoś na root-a ustawia hasło słownikowe to podobne ustawi na usera; biorąc pod uwagę punkt wyżej, użycie "su -" zadziała jak wystawnie root-a z hasłem słownikowym. Mógłbym wprowadzić hasło roota (jakieś mocniejsze) oraz zmienić port z 22 na inny w obrazach. Jednak stawiam na to, że z 80% użytkowników wpadnie w panikę bo nie będzie mogła się zalogować do tunera. Telnet pod względem podobnego ataku jeszcze bardziej jest narażony bo działa w formie bez szyfrowania. Jedyny sposób, moim zdaniem, to świadomość użytkownika. Na kiepskie hasła i wystawienie SSH na standardowym porcie to nie poradzimy nic. Dziura/Atak/jak zwał, tak zwał, bazuje na konkretnym założeniu: znamy port SSH (czyli podaliśmy atakującemu, lub mamy 22); hasło można odgadnąć przy pomocy metody słownikowej (lub je podaliśmy); Dziura/Atak/jak zwał, tak zwał, nie jest wykonalny gdy: nie znamy portu SSH i nie możemy się dowiedzieć jaki to (skanowanie portów == DROP); hasła sa na tyle "szalone", że nawet o ile możliwe jest jego zgadnięcie to czas potrzebny na to jest tak duży, że atakujący się podda. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 10 Kwietnia 2015 Autor Udostępnij Opublikowano 10 Kwietnia 2015 blokując logowanie na roota zyskujemy jeszcze jedną zmienną, nazwę użytkownika, która tego typu ataki utrudni. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
mickey Opublikowano 10 Kwietnia 2015 Udostępnij Opublikowano 10 Kwietnia 2015 blokując logowanie na roota (...) Czyli znowu wprowadzając pewne utrudnienie w postaci konieczności poinformowania gdzieś na stronie jak się dostać do własnego tunera, czego wspomniane 80% nie przeczyta albo wręcz nie będzie w stanie znaleźć. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tequila Opublikowano 10 Kwietnia 2015 Udostępnij Opublikowano 10 Kwietnia 2015 Nie ma co kombinować. Jak ktoś ma potrzebę wystawiania ssh do internetu, powinien sam zadbać o bezpieczeństwo. Nic nie stoi na przeszkodzie, aby stworzyć sobie dodatkowego usera, zablokować roota, czy zmienić port ssh. Zmiana portu to już dużo, a do tego wystarczy zmiana parametru w samym routerze. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 10 Kwietnia 2015 Udostępnij Opublikowano 10 Kwietnia 2015 Tutaj w sumie będę nieugięty. Jak ktoś wystawia coś na świat w sieci to powinien wiedzieć co robi. Jak nie wie co robi to powinien nabyć odpowiednią wiedzę. Jak wie czym to grozi i nadal nie podejmuje odpowiednich środków bezpieczeństwa to...to też jest sam sobie winny. Nie można myśleć za każdego. Internet to nie sieć domowa gdzie sami siebie raczej hackować nie będziemy. Internet dzisiaj to już miejsce, w którym trzeba umieć się odnaleźć i nie liczyć na to, że ktoś za nas coś zrobi i magicznie wszystko będzie OK. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 10 Kwietnia 2015 Autor Udostępnij Opublikowano 10 Kwietnia 2015 Dora, nie upieram się :-) Ale sprawdzę opcję drugiego użytkownika i wyłączenia roota. Jak zadziała dodacie do FAQ? Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 10 Kwietnia 2015 Udostępnij Opublikowano 10 Kwietnia 2015 No ale popatrz. Co się stanie jak ktoś ma roota z hasłem "pimpus" i co się stanie jak będzie miał roota z hasłem "franek" + usera z hasłem "wojtek"? Jeżeli ktoś się już bawi w dodatkowych użytkowników to i tak raczej wie po co. Skoro wie to nie używa słownikowych haseł. Skoro nie używa słownikowych haseł to nie używa ich bo wie dlaczego. Dla takich FAQ nie jest potrzebne, a napisanie FAQ dla kogoś, kto i tak użyje haseł słownikowych mija się z celem. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 10 Kwietnia 2015 Autor Udostępnij Opublikowano 10 Kwietnia 2015 No ale popatrz. Co się stanie jak ktoś ma roota z hasłem "pimpus" i co się stanie jak będzie miał roota z hasłem "franek" + usera z hasłem "wojtek"? Jeżeli ktoś się już bawi w dodatkowych użytkowników to i tak raczej wie po co. Skoro wie to nie używa słownikowych haseł. Skoro nie używa słownikowych haseł to nie używa ich bo wie dlaczego. Dla takich FAQ nie jest potrzebne, a napisanie FAQ dla kogoś, kto i tak użyje haseł słownikowych mija się z celem. Ja wymyśliłem dość skomplikowane (cyfry, małe duże litery + znaki specjalne) i okazało się, że było na liście tych słownikowych :-( Więc to nie daje gwarancji. walczę z su i mam coś takiego: $ su root Password: su: can't set groups: Operation not permitted $ jak dam: # chown root:root /bin/su # chmod u+s /bin/su To zaczyna działać, dziwne, bo: ls -l /bin/su ls -l /bin/busibox wygląda tak zamo przed i po chmod. nic z tego nie rozumiem. :-( Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Gość smarkusg Opublikowano 10 Kwietnia 2015 Udostępnij Opublikowano 10 Kwietnia 2015 Panowie to jest tylko dekoder… jak ktoś wystawia go sobie "do internetu" to porównując do skrzynki pocztowej na klatce schodowej, czy ktoś świadomy wysyła listy pocztą zwykłą ? Świadomy zawsze wyśle poleconą lub kurierem a właściciel skrzynki musi się liczyć z nadużyciami. To nie jest sprzęt do takiej "zabawy", nie takie jego zastosowanie z dodawaniem kont itp - to tylko moja opinia. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 10 Kwietnia 2015 Udostępnij Opublikowano 10 Kwietnia 2015 @robert_cz Nie będzie tak łatwo. "su" działa jak jesteś w grupie wheel. Jednak aby to działało trzeba więcej zabiegów na tunerze. Dlatego cały czas trąbię - porządny router z normalnym SSH na innym porcie. Polityka zabezpieczeń na routerze to pozamykanie wszystkiego i otwieranie co naprawdę potrzeba oraz system blokowania jak ktoś próbuje dobrać się do zasobów bez autoryzacji więcej razy niż np. 5 (wspomniane przeze mnie DROP). Logujemy się na taką maszynę i z niej dalej po lokalnej sieci. To co napisałem traktuję jako minimum! Nie jedną maszyną już administrowałem i wiem ile czasu potrzeba by to zabezpieczyć. Wiem też jak unikać podstawowych błędów. Wydaje nam się, że wygodniej np. wystawić odbiornik na publiczne IP i pozmieniać hasła. Jednak to nie jest nawet nieoptymalne. Zawsze miałem problem aby to uwiadomić końcowemu użytkownikowi. Dla przeciętnej osoby liczy się nie bezpieczeństwo, a wygoda. A jak coś padnie, ktoś się włamie, coś ukradnie/zmieni - wtedy jest lament i szukanie każdej przyczyny tylko nie tej najprostszej - brak poprawnej polityki zabezpieczeń. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
mickey Opublikowano 10 Kwietnia 2015 Udostępnij Opublikowano 10 Kwietnia 2015 Dla przeciętnej osoby liczy się nie bezpieczeństwo, a wygoda. Potwierdzam :) Konto najlepiej bez hasła. A już najlepiej bez konta. Niech się samo loguje. A jak ma być hasło, to tak ze 3 znaki co najwyżej, ale jakiś "łańcuszek na klawiaturze"... Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 11 Kwietnia 2015 Autor Udostępnij Opublikowano 11 Kwietnia 2015 @robert_cz Nie będzie tak łatwo. "su" działa jak jesteś w grupie wheel. Jednak aby to działało trzeba więcej zabiegów na tunerze. mi po chown i chmod działa su bez problemu :-) Testowo wyłączę sobie logowanie na roota przez ssh i popracuję kilka dni i dam znać. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
314TeR Opublikowano 12 Kwietnia 2015 Udostępnij Opublikowano 12 Kwietnia 2015 Ja wymyśliłem dość skomplikowane (cyfry, małe duże litery + znaki specjalne) i okazało się, że było na liście tych słownikowych :-( i wyszło: Dupa#123 Przepraszam, ale nie mogłem się powstrzymać... :P Natomiast zgadzam się z przedmówcami... jak wystawia się coś na świat to trzeba być pewnym, tego co się robi i po co... w tym wypadku zabrakło tak naprawdę elementarnej higieny w postaci sensownego hasła... BTW - wyciągając wnioski i pomysły, to może warto mimo wszystko przemyśleć czy jednym z kroków kreatora uruchomienia graterlii nie powinno być generowanie generowanie hasła chociażby pseudolosowego dla roota... tyle że to wszystko to na siłę taka nadopiekuńczość w kierunku lamerów którym daje się szwajcarski scyzoryk w postaci graterlli a jednocześnie zaczyna się podejmować działania w kierunku aby się nie pociął... Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Gość ryrzy Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 a może jest opcja skompilowania fail2ban do GOS ? Sporo by to już pomogło Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Skompilować można. Są jednak dwa ALE: fail2ban obciąża system i to nie mało; poza tym wymagane jest działające IPTABLES. nBox to nie router! - bez przesady. Poza tym czy naprawdę aż tak trudno użyć routera np. z OpenWRT i skonfigurować to po ludzku? Czy nie można użyć innego portu i tyle? (przekierowanie z portu np. 43245 → 22 w nBox). Można wiele, ale tutaj cały czas próbujesz wystawić nBoxa na internet w sposób, w który nie zaleca się wystawiać nawet routerów brzegowych! Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 13 Kwietnia 2015 Autor Udostępnij Opublikowano 13 Kwietnia 2015 Ja wymyśliłem dość skomplikowane (cyfry, małe duże litery + znaki specjalne) i okazało się, że było na liście tych słownikowych :-( i wyszło: Dupa#123 Przepraszam, ale nie mogłem się powstrzymać... :P Nie jednak wyszło inne niż Dupa#123 A powiedz mi skąd pewność, że Twoje "niesłownikowe hasło" nie trafi kiedyś na jakąś listę i ze skomplikowanego ciągu znaków stanie się słownikowym? Przeglądałeś listę tych "słownikowych" zastosowanych w tym ataku? Bo sporo jest takich na słownikowe nie wyglądających. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Gość j00zek Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Mój pierwszy i ostatni post w tym wątku. :P Może ktoś zmienić tytuł tego wątku, na "paranoiczne dywagacje o bezpieczeństwie"? Tak to niestety teraz wygląda. Przypomnę: - GOS to system dla tunerów satelitarnych, - 90% użytkowników, to normalni ludzie, - 99% użytkowników, nie wie, nie umie, nie chce wystawiać tunera na świat zewnętrzny, - Pozostały 1% robiących to musi rozumieć co robi. - 99% użytkowników nie może cierpieć z powodu kilku (część z tego 1%) osób robiących sobie kuku. Z związku z powyższymi oświadczam, że nie zgadzam się, na wszelkie zmiany pogarszające funkcjonalność GOS dla zwykłych użytkowników, lub spowalniające jego pracę. Jako rasowy lamer :P, używam, chcę używać i będę używał jedynie słusznego telneta bez hasła. Na wszelkie próby zmuszenia mnie do korzystania z paranoicznie zabezpieczonego tunera odpowiadam głośnym nie. :P Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 @j00zek Lepiej tego ująć nie mogłeś. SSH w GOS jest bo chodzi o bezpieczeństwo i jakby nie patrzeć o to, że telnet to już staruszek. Nic nie szkodzi jednak by w sieci lokalnej go używać! W naszej sieci lokalnej nawet haseł nie musi być o ile nie jest wystawiona na zewnątrz lub jest wystawiona "z głową" Również uważam, że każdy, kto wykonuje coś co jest niestandardowe robi to na własną odpowiedzialność i nie ma prawa zmuszać nikogo do swojej ideologii. W przypadku sieci jest to temat rzeka i w sumie jak @j00zek zaznaczył - to jest tuner SAT a nie router. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Gość ryrzy Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Skompilować można. Są jednak dwa ALE: fail2ban obciąża system i to nie mało; poza tym wymagane jest działające IPTABLES. nBox to nie router! - bez przesady. Poza tym czy naprawdę aż tak trudno użyć routera np. z OpenWRT i skonfigurować to po ludzku? Czy nie można użyć innego portu i tyle? (przekierowanie z portu np. 43245 → 22 w nBox). Można wiele, ale tutaj cały czas próbujesz wystawić nBoxa na internet w sposób, w który nie zaleca się wystawiać nawet routerów brzegowych! rozumiem, no ja np właśnie tak mam, zew port ssh (akurat nie tunerów, bo nie mam takiej potrzeby żeby je udostępniać) zupełnie inny i routerek właśnie na OpenWRT :) Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 To po jakie licho wystawiasz SSH tunera? Wystaw na jakiś port (np. 47834) SSH na OpenWRT. Postaw tam IPTABLES z głową + np. portsentry czy fail2ban. Następnie logujesz się na OpenWRT i z niego dalej na tuner. Tu nawet po telnet starczy. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 13 Kwietnia 2015 Autor Udostępnij Opublikowano 13 Kwietnia 2015 To ja proponuję zamknąć ten wątek, bo już zostało w nim napisane wszystko co mogło być napisane, a ja, jeśli pozwolicie potestuję stosowanie su i wyłączenie roota i dam znać w nowym wątku o "su" na graterli. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Gość ryrzy Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 To po jakie licho wystawiasz SSH tunera? Wystaw na jakiś port (np. 47834) SSH na OpenWRT. Postaw tam IPTABLES z głową + np. portsentry czy fail2ban. Następnie logujesz się na OpenWRT i z niego dalej na tuner. Tu nawet po telnet starczy. a kto powiedział że wystawiam ? Przeczytaj jeszcze raz mój post poprzedni. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Tutaj bym nie meldował co się stanie po zastosowaniu "su". Nie bez przyczyny zostały przyjęte takie a nie inne zasady co do projektowania sieci. Gdyby każdy podchodził do sprawy jak Ty to obawiam sie, że przeszło 90% sieci dawno by już stanęła, włącznie z Twoim dostawcą internetu. Myślę, że najwyższy czas zacząć promować poprawne zachowania a nie przytakiwać, że trzeba inaczej a robić odwrotnie. Podobnie co roku instytucje alarmują, że hasła używamy złe, żeby nie podawać pinu, żeby sprawdzać czy jesteśmy na poprawnej stronie, itd. Ludzie jednak maja tendencje do bagatelizowania wszystkiego. Czasem nawet cos co się stanie u nas nie spowoduje uruchimienia zdrowego rozsądku. Podobnie jest też z samym forum GOS. Odnośnie polityki rejestracji krzyczą najwięcej Ci, którzy z lenistwa nie dbają o bezpieczeństwo. Jednak wstarczy mała analiza stanu rzeczy i nagle można dojść do wniosków, że w sumie forum działa i jak na tą ilość ruchu, która przechodzi przez to forum to w sumie nie ma ataku natretnych bootow czy wiecznych awarii serwera/skryptu forum. Także czasem warto 10x się zastanowić czy aby to my nie popełniamy błędu nie stosując się do zasad bezpieczeństwa i czy aby nie popelniamy drugiego sugerując komuś ze może jednak da się cos obejść i zrobić inaczej. EDIT tux: @ryrzy - worki, pomyłka osób :) Nawet mi się to zdarza :-) Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
mickey Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 BTW - wyciągając wnioski i pomysły, to może warto mimo wszystko przemyśleć czy jednym z kroków kreatora uruchomienia graterlii nie powinno być generowanie generowanie hasła chociażby pseudolosowego dla roota... tyle że to wszystko to na siłę taka nadopiekuńczość w kierunku lamerów którym daje się szwajcarski scyzoryk w postaci graterlli a jednocześnie zaczyna się podejmować działania w kierunku aby się nie pociął... Taka nadopiekuńczość ostatnimi czasy staje się standardem. Tyle, że nie bardzo chodzi o to, żeby chronić lamerów a bardziej o to, żeby chronić sieć przed maszynami "zombie", którymi stają się zaatakowane komputery. A gdyby tak (nie jestem pewny czy to na pewno da się zrobić bezboleśnie) zmienić domyślne ustawienia w /etc/passwd z: root::0:0:root:/root:/bin/sh na: root:hash_jakiegos_pokreconego_hasla_ktore_nie_zostanie_podane_a_bedzie_mozna_zmienic:0:0:root:/root:/bin/sh gosadmin::0:0:root:/root:/bin/sh W założeniach: Domyślny login do systemu do gosadmin bez hasła ... co zostanie podane na stronie głównej projektu. Kto będzie chciał zrobi sobie porządek. Automatyczne ataki są jednak na roota. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Można i tak. Z doświadczenia wiem jednak, że kończy się jak zawsze. To znaczy się albo root na zewnątrz ze zmienionym hasłem na 123456 albo ktoś i tak zrobi po swojemu i porządnie. Uważam, że niestety każdy musi sam to zrobić. To jak instalacja systemu operacyjnego. Najwięcej ataków jest tam, gdzie nie ma hasła albo jest ono niewystarczające. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
mickey Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Jak ktoś mało świadomy będzie grzebał, to skończy się tak jak zawsze. Ale z drugiej strony to co podałem powinno w pewnym stopniu zabezpieczyć tych najmniej świadomych, których wiedza o sieci kończy się na (poprawnym) podłączeniu kabla. A wydaje się, że ogólnie nie powinno sprawiać kłopotów przy użytkowaniu? Zabezpieczy też trochę ogól przed kolejnym zombie ;) Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Gość j00zek Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Tylko podajcie wcześniej datę wprowadzenia tych "udogodnień". Aby wszyscy zdążyli zainstalować inną dystrybucję. ;) A na poważnie. Zaczęło się od jednego "oszołoma" a kończy się na odgórnym zabezpieczaniu czegoś, czego nie trzeba zabezpieczać. Ech... Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Jak ktoś mało świadomy będzie grzebał, to skończy się tak jak zawsze. Ale z drugiej strony to co podałem powinno w pewnym stopniu zabezpieczyć tych najmniej świadomych, których wiedza o sieci kończy się na (poprawnym) podłączeniu kabla. A wydaje się, że ogólnie nie powinno sprawiać kłopotów przy użytkowaniu? Zabezpieczy też trochę ogól przed kolejnym zombie ;) No i tu mamy sprzeczność. Taka osoba jak podałeś podłączy kabel za NATem i tyle. Jej nic nie grodzi bo SSH na zewnątrz nie ma. Jeżeli jednak ktoś przekierowuje port SSH na publiczne IP to "do diabła" (wybaczcie) chyba wie, że właśnie pozwolił całemu światu na łączenie się do tunera. Taka osoba ma mieć świadomość tego co właśnie zrobiła. Taka osoba ma widzieć, że hasła mają być, i że dzisiaj port 22 na publicznym IP to "internetowe samobójstwo". Twoje podejście do sprawy utrudni tylko życie normalnemu użytkownikowi. Już widzę tą lawinę postów po forach - jakie jest hasło do Graterlia? Nie liczyłbym na to, że ludzie masowo doczytają, podobnie jak nie liczę na to, że masowo zmienią podejście do zagadnienia sieci. Dawniej próbowałem jakoś z tym walczyć. Teraz, jak już "niechlujstwo" sieciowe przekroczyło granice zdrowego rozsądku (wystarczy zerknąć na sieci dostawców internetu) to jedyne co ja mogę zrobić to dobrze postawiony router + paranoidalne ustawienie reguł na routerze. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 13 Kwietnia 2015 Autor Udostępnij Opublikowano 13 Kwietnia 2015 Tylko podajcie wcześniej datę wprowadzenia tych "udogodnień". Aby wszyscy zdążyli zainstalować inną dystrybucję. ;) A na poważnie. Zaczęło się od jednego "oszołoma" a kończy się na odgórnym zabezpieczaniu czegoś, czego nie trzeba zabezpieczać. Ech... j00zek, czy mógłbyś, poproszę bez osobistych wycieczek. Ja się staram nikogo nie obrażać nawet jak się z nim nie zgadzam i wybacz, ale nie wszyscy wszystko wiedzą, nawet Ty. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 @robert_cz Tak bez urazy -- to @j00zek nie zrozumiał istoty sieci czy Ty? Rozumiem, że możesz występować w obronie tych, którzy nie wiedzą dużo na temat sieci. Jednak czy to jest poprawne podejście? Ja osobiście jak widzę takie kwiatki jak SSH na porcie 22 z hasłem do odgadnięcia to powstrzymuję się od komentarza. Zazwyczaj takie osoby za nic na świecie nie potrafią zrozumieć, że robią źle i przekonują do grobowej deski, że większość tak myśli i tak to ma działać. Ponadto tworzy się jakieś swoiste kółko wzajemnej adoracji, gdzie to ta grupa (niedoszkolonych z sieci) próbuje na siłę udowadniać tym co mają sieci wykonane poprawnie, że są w błędzie. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Gość j00zek Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 @Robert_cz: Wybacz, ale może sprawdź historię poruszanych przez ciebie tematów. To kolejny, w którym dowodzisz, ze wszystko jest źle, wszyscy muszą się do ciebie dostosować, itd., itp.. A słowo nie jest obraźliwe. Za słownikiem PWN "pot. «człowiek ślepo podporządkowany jakiejś idei i wierzący w nią bezgranicznie»" Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 13 Kwietnia 2015 Autor Udostępnij Opublikowano 13 Kwietnia 2015 @robert_cz Tak bez urazy -- to @j00zek nie zrozumiał istoty sieci czy Ty? Rozumiem, że możesz występować w obronie tych, którzy nie wiedzą dużo na temat sieci. Jednak czy to jest poprawne podejście? Ja osobiście jak widzę takie kwiatki jak SSH na porcie 22 z hasłem do odgadnięcia to powstrzymuję się od komentarza. Zazwyczaj takie osoby za nic na świecie nie potrafią zrozumieć, że robią źle i przekonują do grobowej deski, że większość tak myśli i tak to ma działać. Ponadto tworzy się jakieś swoiste kółko wzajemnej adoracji, gdzie to ta grupa (niedoszkolonych z sieci) próbuje na siłę udowadniać tym co mają sieci wykonane poprawnie, że są w błędzie. @tux Ale czy ja się na coś upieram?? Jak najbardziej zrozumiałem i tak jak napisałem wcześniej zmieniam porty i chce wyłączyć logowanie na roota i przesiąść się na su, czy to mało. czy ja się upieram, że chce zmian? NIE, NIE, NIE. Podaję tylko pomysły standardowych rozwiązań stosowanych przez innych. PS. Nie wiem, ale czy to forum zostało stworzone do dyskusji o dystrybucji na nasze tunerki, czy do obrażania mniej zaawansowanych użytkowników, bo się czasem zastanawiam? :-( @Robert_cz: Wybacz, ale może sprawdź historię poruszanych przez ciebie tematów. To kolejny, w którym dowodzisz, ze wszystko jest źle, wszyscy muszą się do ciebie dostosować, itd., itp.. A słowo nie jest obraźliwe. Za słownikiem PWN "pot. «człowiek ślepo podporządkowany jakiejś idei i wierzący w nią bezgranicznie»" To przeanalizuj proszę jeszcze raz moje wątki i jest kilka w których się myliłem i się do tego przyznałem oraz bardzo wiele w których miałem rację. A czy Ty się nigdy nie mylisz? Ja z czytania tego forum, nie zauważyłem ani razu żebyś napisał, że się myliłeś, mylę się? To chyba jednak Ty zasługujesz na takie określenie które zastosowałeś wobec mnie. Ja już kończę "prywatne wycieczki" bo one do niczego nie prowadzą. Zastosowałem się do rad i bardzo za nie dziękuję. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 PS. Nie wiem, ale czy to forum zostało stworzone do dyskusji o dystrybucji na nasze tunerki, czy do obrażania mniej zaawansowanych użytkowników, bo się czasem zastanawiam? :-( Możesz pozornie odnieść takie wrażenie. Jednak staramy się tutaj ponad wszystko promować poprawną drogę działania a nie półśrodki, które może zadziałają a może nie. Do tego niekoniecznie zawsze. W przypadku sieci osobiście jestem cięty na każdego, kto próbuje udowadniać, że koło jednak może być częściowo kwadratowe. Być może wynika to z tego, że pracując w sieciach widzę to inaczej. Widzę do czego doprowadza podobne myślenie jak tutaj jest omawiane. Jest to temat rzeka i na osobny wątek. Jednak za nic na świecie nie poprę działań, które nie są zgodne z tym co zostało przyjęte. W sumie osobiście mam już dość informacji typu: nie działa DHCP; mam niskie transfery; nie mam linka do switcha; włamali mi się na tuner; WiFi mi nie działa; itp. Dlaczego? Dlatego, że raz porządnie zaprojektowana i wykonana instalacja sieciowa == święty spokój na lata bez wywarzania drzwi. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
mickey Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Tylko podajcie wcześniej datę wprowadzenia tych "udogodnień". Aby wszyscy zdążyli zainstalować inną dystrybucję. ;) Dotykanie /etc/passwd podczas opkg upgrade jest niedopuszczalne, więc proponowanej przeze mnie zmiany pliku w obrazie na stronie nawet nie zauważysz na działającym systemie. No chyba, że będziesz instalował na nowo, to przez chwilę możesz mieć problem ;) No i tu mamy sprzeczność. Taka osoba jak podałeś podłączy kabel za NATem i tyle. Jej nic nie grodzi bo SSH na zewnątrz nie ma. No i ta sprzeczność pozostanie :) Ale z jednym się zgodzę: Użytkownika, który świadomie wystawia na świat jakiś system bez wprowadzenia podstawowych zabezpieczeń nie ma co na siłę chronić. To wszystko jedno, czy to GOS czy inny system i czy jest to port 22 czy jakiś inny. Już widzę tą lawinę postów po forach - jakie jest hasło do Graterlia? Nie liczyłbym na to, że ludzie masowo doczytają (...). Obecnie i tak muszą gdzieś znaleźć info, że domyślnie jest root bez hasła. Tyle, że takiej kombinacji (chyba) można się domyślić. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Obecnie i tak muszą gdzieś znaleźć info, że domyślnie jest root bez hasła. Tyle, że takiej kombinacji (chyba) można się domyślić. To jest oczywiste od LAT. Po prostu tak było, jest i chyba będzie. Jak instaluje PLD czy Arch Linux też mam puste hasła na czysto. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 13 Kwietnia 2015 Autor Udostępnij Opublikowano 13 Kwietnia 2015 W sumie osobiście mam już dość informacji typu: nie działa DHCP; mam niskie transfery; nie mam linka do switcha; włamali mi się na tuner; WiFi mi nie działa; itp. Dlaczego? Dlatego, że raz porządnie zaprojektowana i wykonana instalacja sieciowa == święty spokój na lata bez wywarzania drzwi. Przepraszam za off-topic, ale jakoś tak ja też nie mogłem się powstrzymać. Pozwolisz, że z jednym punktem się nie zgodzę, z tym dhcp, to problemem jest jednak box, bo wysyła zapytania w powietrze zanim się port podniesie. I to moim zdaniem jest właśnie niezgodność ze standardem. A dobry sprzęt sieciowy w tym wypadku w ostatnich sekundach się wyrabia, a ten z dolnej półki (ale mieszczący się w standardach) nie. Oczywiście lepiej mieć sprzęt sieciowy lepszy niż ten gorszy i tu się z Wami zgadzam w 100%. :-) Taka jest moja opinia poparta obserwacją rzeczywistości i mam nadzieje mi na nią pozwolicie :-) Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
tux Opublikowano 13 Kwietnia 2015 Udostępnij Opublikowano 13 Kwietnia 2015 Co do DHCP to wybacz, ale żadne z moich urządzeń sieciowych nie działa tak jak to przytaczałeś. Za chiny ludowe nie potrafię zmusić mojej instalacji sieciowej to niewyrobienia się z dostarczeniem danych DHCP o ile oczywiście serwer HDCP działa. Testowałem do na wielu urządzeniach od tp-linków, przez d-linki, cisco, asusy. inne. Testowałem na oficjalnym i alternatywnym sofcie. Jedyne czego nie wymieniałem to kable, oraz nie zaciskałem niechlujnie wtyczek. Nie twierdze, że zawsze wszystko jest ŹLE. Jednak usilnie próbując doprowadzić do niedziałania DHCP nie potrafię. Zawsze najpóźniej za trzecim razem karta dostaje parametry. Dodam, że sieć u mnie to nie trzy czy pięć urządzeń a znacznie więcej. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
robert_cz Opublikowano 13 Kwietnia 2015 Autor Udostępnij Opublikowano 13 Kwietnia 2015 a sprawdzasz czy te pierwsze dwa zapytania oo DHCP wychodzą wogóle w sieć z tunera? Bo ja to sprawdziłem i nie wychodzą. Umówmy się tak, że jak trafię na taki router który się nie wyrabia, to Ci wyślę żebyś mógł to potwierdzić. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Rekomendowane odpowiedzi