https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html В OpenSSH выявлена (https://kingcope.wordpress.com/2015/07/16/openssh-keyboard-interactive-authentication-brute-force-vulnerability-maxauthtries-bypass/) недоработка, дающая возможность отключить систему ограничения интенсивности запросов на аутентификацию, мешающую эффективному проведению атак по словарному подбору паролей. <br><br><br>Метод основан на определении большого числа интерактивных устройств (KbdInteractiveDevices), симулируя подключение тысяч клавиатур. Установка таких устройств снимает применяемый по умолчанию лимит на шесть попыток входа в рамках одного соединения, вместо которого остаётся двухминутный таймаут на успешный вход в систему. За две минуты атакующий может перебрать тысячи словарных комбинаций, что существенно повышает эффективность словарного перебора.<br><br><br>Метод работает только при активном в конфигурации методе интерактивной аутентификации (KbdInteractiveAuthentication). По умолчанию включение режима интерактивной аутентификации зависит от настройки ChallengeResponseAuthentication. Из си https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html#44 Sun, 23 Aug 2015 15:23:59 GMT &gt; Вы вот сейчас поняли, какой секрет раскрыли миру? Сейчас все убунтоиды ломанутся <br>&gt; менять уид своему юзеру, чтобы судо не вводить 20 раз в <br>&gt; день.<br><br>Расскажи нам, малыш, какая у тебя система, которая даёт тебе автоматическое преимущество перед убонтоводами.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html#43 Tue, 18 Aug 2015 17:09:50 GMT &gt;&gt; ну в принципе уже известен логин, в случае запрещения рута - то <br>&gt;&gt; нуно ещё додуматься какой может быть логин <br>&gt; А что мешает сделать ещё одного юзера с uid 0? А root-у <br>&gt; и вовсе запретить заходить. И не только на sshd.<br><br>А не проще в ssh логиниться по ключу с отключенным рутом, а потом ручками вводить sudo bash и вперед, настраивть/ломать ;-)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html#42 Tue, 18 Aug 2015 17:07:24 GMT Вы вот сейчас поняли, какой секрет раскрыли миру? Сейчас все убунтоиды ломанутся менять уид своему юзеру, чтобы судо не вводить 20 раз в день. <br> https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html#41 Sun, 26 Jul 2015 10:53:15 GMT &gt; Прочитал, понял, позор. В Ubuntu это отключено, нет такой проблемы?<br><br>В Debian ChallengeResponseAuthentication выключен.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html#40 Thu, 23 Jul 2015 17:12:38 GMT &gt; Без этого только неадекватные админы выставляют SSH на 22 порту в инет. <br>&gt; Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для <br>&gt; логов :) <br><br>Автор не сравнивал логи SSH на стандартном и нестандартном порту?<br>Автор не анализировал логи на предмет того, через сколько минут приходят первые китайские боты на свежеоткрытый айпи?<br><br>А длинный пароль полезен, да. Как и fail2ban. Как ключи тоже, конечно.<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html#39 Thu, 23 Jul 2015 06:23:09 GMT были некоторые добрые люди в новоросийске на узле связи .. они включили telnet, создали еще одного юзера с uid = 0, и задали ему паролем словарное слово :) <br><br>после этого можно уже не удивляться :)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html#38 Wed, 22 Jul 2015 08:45:15 GMT По мне так это новость звучит так:<br>Наша улитка поставила цель проползти 100 метров, раньше она проползала 1см, но теперь, благодаря новой пневмоподвеске она способна проползать расстояние в 10 раз больше, чем раньше !!!<br> https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html#37 Wed, 22 Jul 2015 08:43:22 GMT &gt; Без этого только неадекватные админы выставляют SSH на 22 порту в инет. <br>&gt; Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для <br>&gt; логов :) <br><br>Да, это боль выяснять что Journalctl тормозит потому, что из 2Gb 90% логов забито сообщениями от sshd с 22 порта.<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/103730.html#35 Tue, 21 Jul 2015 21:15:53 GMT На Слаке тоже не работает. =)<br>