[Tecnica] attacco bruteforce

Martino di Filippo puntodifuga a gmail.com
Gio 11 Ott 2012 14:06:22 BST


Ti do il mio punto di vista, dato che di server in produzione ne ho una
ventina.

- Disabilita assolutamente l'accesso SSH per l'utente root. Accedi come
utente
  non privilegiato, e poi usa sudo / su quando ti servono i permessi.
Questo e'
  fondamentale.

- Sposta SSH dalla porta 22. Essendo "security through obscurity" non rende
il
  server piu' "sicuro", ma eviti i tool automatizzati che provano password
per
  giorni e ti riempiono i log ;)

- Disabilita l'accesso tramite password per tutti gli utenti. Crea una
chiave usando
  ssh-keygen, lascia la chiave pubblica in ~/.ssh/authorized_keys e
proteggi la
  chiave privata sul tuo pc con una password (che ti verra' chiesta ogni
volta che
  usi la chiave).

  Puo' sembrare poco pratico, ma ti ci abitui velocemente. Personalmente
tengo
  le due o tre chiavi che mi possono servire per manutenzione in ogni
momento in
  Dropbox. Sono protette da password, ma se ho bisogno urgente di accedere
  da un pc non mio posso sempre scaricarle da dropbox.com. Le uso senza
  problemi da Linux e Mac (ssh), Windows (putty) ed Android
(connectbot/irssi).

  Se devi dare accesso ad altre persone, puoi mettere tutte le loro chiavi
pubbliche
  in ~/.ssh/authorized_keys, per cui ciascuno accede con la propria. La
chiave
  vale anche per SFTP ovviamente.

- Prendi l'abitudine di leggere, ogni volta che ti connetti, la riga "Last
login: ", e
  indaga immediatamente se noti un IP / orario che non ti e' familiare.


Detto questo, se qualcuno ha acceduto al tuo server, e' molto importante
che tu
lo formatti e riparta da capo, trasferendo strettamente solo i dati che ti
servono.
E' pratica molto comune lasciare almeno una backdoor per poter accedere in
seguito al server, quindi non puoi avere la certezza di averlo rimesso in
sicurezza
se non ripartendo da zero.

Buon lavoro! :)

Martino


2012/10/11 Freeze NorthPole <freeze782 a gmail.com>

> Ciao a tutti,
> prima di ogni cosa vi ringrazio per le vostre pronte risposte
> come vi accennavo ho spento il server e "tranquillizato" sia il mio
> provider che i proprietari  dei 2 server attaccati
> sono già in movimento per salvare il salvabile e reinstallare una
> versione "pulita" dell' OS
> a questo punto devo proteggermi per il futuro, sto leggendo con
> interesse tutte i suggerimenti che mi state dando ma non vi nascondo
> la mia ignoranza in materia, per cui mi servirebbe qualche "guru" che
> mi segua nei primi passi (alla peggio intervenga direttamente) per
> essere sicuro di non fare ulteriori danni....
>
> qualcuno di voi sarebbe disponibile  ?
>
> Grazie Mille acnora a tutti
> Freeze
>
> 2012/10/11 Yusef Maali <contact a yusefmaali.net>:
> > On 11/10/2012 12:39, Simone Soldateschi wrote:
> >>
> >> se stiamo parlando di irrobustire un server allora le misure da
> >> intraprendere
> >> non sono mai abbastanza, ed anche quando pensi di aver fatto tutto il
> >> possibile
> >> devi continuamente esaminare i log
> >
> >
> > Vero, diciamo che questa è la regola 0.
> >
> >
> >>
> >> se usi qualsiasi dispositivo con *nix (android compreso) non ci sono
> >> problemi a
> >> fare knocking ed usare certificati digitali
> >>
> >> diverso e' il discorso se stiamo parlando di un server casalingo a cui
> >> vuoi
> >> accedere da qualsiasi dispositivo e da qualsiasi posto
> >
> >
> > Per la mia esperienza, vale l'esatto contrario.
> > Se usi un server in produzione (aka per lavoro), puoi avere la necessità
> di
> > dover accederci con macchine non tue, con qualsiasi OS, da reti blindate,
> > ecc...
> > Un server in produzione deve essere versatile, a meno che non abbia una
> > finalità precisa su cui puoi fare scelte e tagli drastici.
> >
> > E proprio sul server casalingo, monoutente, su cui ti puoi divertire ad
> > integrare le tecnologie più fighe (e restrittive) :)
> >
> > In ogni caso dipende sempre dalle proprie necessità, ovviamente ;)
> >
> > _______________________________________________
> > Tecnica mailing list
> > Tecnica a liste.siena.linux.it
> > http://liste.siena.linux.it/cgi-bin/mailman/listinfo/tecnica
> _______________________________________________
> Tecnica mailing list
> Tecnica a liste.siena.linux.it
> http://liste.siena.linux.it/cgi-bin/mailman/listinfo/tecnica
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://liste.siena.linux.it/pipermail/tecnica/attachments/20121011/07ffafd6/attachment.htm>


Maggiori informazioni sulla lista Tecnica