Názory k článku
Výzkumníci opět varují před stále nedostatečně zabezpečenými SSH servery

Teď jsem poněkud znejistěl. Znamená to, že bych místo klíčů v yubikey měl přejít na dlouhá neslovníková hesla? To se mi s ohledem na množství serverů bude velmi špatně pamatovat.

Chyba, správně má být pravidelně obměňovaná dlouhá neslovníková hesla!
Ideálem je totiž One Time Password: po každém přihlášení změníte heslo. ;o)

Stačí, aby OTP bylo v password manageru, kdy disk zdechne. Pak je to na provaz, když budeš mít 1000 serverů a každý jiné heslo. GOODLUCK na louskání a vysvětlování proč si to tak udělal... Nebo když to někomu budeš muset předat....
One Time Password je někde vhodné, někde nikoliv. ;)

Rika se, ze jsou dva typy lidi: ti, co zalohuji a ti, kteri jeste o data neprisli... :-)

Znám případ, kdy zálohu si nahrál do cloudu a heslo bylo v manageru. Trvalo týden než se dokázal doškrabat do toho účtu, protože email na který to bylo dělaný mělo heslo v manageru...
Neříkám heslo na jedno brdo, ale na takových 10 variant ano, nikoliv na tisíc... A o tom, že selže záloha je taky hezké povídání. Zálohy na flash, nebo na druhý disk. Též může být fail.

Doporučovat silná neslovníková hesla a ani se nezmínit o možnosti přihlašování pomocí klíčů? No nic...

Jinak taky mě zaujal ten login Root. Já mám asi na všech linuxových strojích jen uživatele root, ale dát tam to velké písmeno (a Linux zdá se uživatelské účty bere case-sensitive) by možná mohl být zajímavý způsob, jak nějakým botům útoky trochu zkomplikovat (asi podobný, jako nechat ssh server poslouchat na jiném portu než 22). :-)

A podobně neúčinné. Zákaz přímého přihlášení na uživatele root nebo přihlašování na roota jen pomocí klíčů má na rozdíl od změny v jednom bitu reálný dopad na bezpečnost.

Změna portu nic neřeší.
Ještě před covidem trvalo 3 dny než útočníci našli port a začali slovníkovy útok.

Dnes to bude klidně v řádu hodin.
Můžete snadno ověřit.

27. 12. 2023, 16:32 editováno autorem komentáře

Potvrzuji pozorování, že mi boti zkouší i na různé vysoké porty. Ovšem řádově méně než na 22.

Já to potřebuju vyřešit kvůli SSH serverům na slabých linkách, kde je tohle prostě opruz. Asi budu muset udělat port knocking, nebo to dát za VPN a ne do světa.

SSH protokol měl být navržen tak, že když je přihlašování heslem zakázáno, vůbec neměla existovat možnost hesla zkoušet. (ale plně chápu, že když to před 20+ lety vymýšleli, tak je tohle nenapadlo)

Tak porad jde mit bud whitelistovanych par IP... a i kdyz je potreba to mit volne z celeho sveta, tak reseni typu fail2ban, co po par neuspesnych pokusech potizistu odstrihnou. A cast tech pokusu odstrihne treba i to, ze clovek necha povolene jen moderni algoritmy (jenom je potreba dat bacha, aby si clovek neriznul sve legitimni klienty, treba s Putty muzou byt problemy).

A je snad moznost zkouset hesla, kdyz je prihlasovani heslem/challenge response zakazano? Alespon bezny SSH klient si heslo ani nepta, logy ssh nebo pam neukazuji zkouseni hesla. Da se to snad nejak obejit?

To jste mě dostal a asi máte pravdu, z logů to vypadá, že se připojí bot, zkusí buď existujícího uživatele a spojení uzavře ( Disconnected from authenticating user root 43.156.238.32 port 33756 [preauth]), nebo je vykopnut s Disconnected from invalid user ftptest 43.156.43.102 port 40208 [preauth].

"Ovšem řádově méně než na 22."
Porty zkouší buď přímo z Ruska a nebo pronajatý server v Holandsku. Je to sice na hraně zákona, ale jde o legitimní provoz.
Když najde otevřený port, tak během pár hodin začne útok z jiné IP. To už je porušení zákona, takže na to se používají napadené stroje jejiž majitelé nevědí co dělají.

Problem je, ze ta VPN nebo i ten port-knocking je dalsi kurvitko v ceste, ktere se zarucene podela presne v okamzik, kdy budes nutne potrebovat se na to SSHcko dostat.

To ze ti SSHcko neodpovida pak vubec neznamena, ze ti nebudou chodit pokusy o prihlaseni.

Tak to testni, SSHcko na nedefaultnim portu = maximalne 5 minut nez prijde prvni pokus o login. Zato kdyz ses v cizi siti, tak se budes mesic dohadovat, aby ti login na ten nedefaultni port povolili.

> a pravidelně je měnit

Což je přesně proti všem aktuálním doporučením ke správě hesel. Šlo by ty zprávičky před vydáním třeba redigovat místo prostého překladu textu z angličtiny do češtiny?

Ta doporuceni boharovne ignoruji i na NUKIBu - je to soucast vyhlasky k ZoKB, co produkuji a planuji to zachovat i v ramci transpozice NIS2. S periodickou zmenou hesel na vecne casy a nikdy jinak. Co na tom, ze i NIST rika, ze to je ptakovina, zrovna tuhle pasas pri cherry-pickingu na urade radi preskakuji.

Doplnil jsem do zprávičky odstavec s lepšími doporučeními než jsou v původním článku.

Díky Petře, takhle je to mnohem lepší.

Nenutit uživatele měnit hesla je pohodlné pro všechny, akorát když chcete kvůli bezpečnosti přejít v ukládání hesel na jinou hashovací funkci, tak máte problém.

Jenže to spadá do jednoho ze dvou případů, kdy je požadavek na změnu hesla rozumný: podezření na kompromitaci nebo postup vedoucí ke zvýšení bezpečnosti. Změna hašování je jednoznačně druhý případ a v takové situaci je možné uživatele nutit ke změně hesla.

Problém je zbytečná byrokratická změna, která nepřináší zlepšení bezpečnosti, ale obvykle u uživatelů vede ke hledání zkratek, které bezpečnost naopak zhoršují.

No ne nutně, záleží asi na návrhu aplikace. Dá se to docela elegantně řešit tak, že v momentě, kdy se uživatel přihlašuje, tak se ověří heslo proti staré zahashované podobě a když sedí, tak se to heslo (uživatel ho v ten moment zadal, takže aplikace ho má, ale nemusí ho v nehashované funkci nikam ukládat) zahashuje i novým algoritmem a uloží. V databázi pak máte kromě hashovaného hesla uloženou i informaci, jakým algoritmem je hashované, případně třeba i kolik iterací takového algoritmu je použito.

Ano, tohle je zcela běžný přístup a řada knihoven to přímo předpokládá. V extrémním případě dokonce můžete randomizovat i počet iterací v rozmezí od do. V případě úniku je to další nepříjemnost navíc, kterou musí útočník řešit. Z hlediska aplikace je to pár řádek kódu, který se dobře testuje.

... kdyz chces zmenit algoritmus nemusis kvuli tomu menit heslo. Staci ti pockat, az se uzivatel prihlasi. Ve skutecnosti je jedinym duvodem pro zmenu kompromitace.

Ze by?
https://forum.root.cz/index.php?topic=28356

Chci se zeptat, co tak může ten nedostatečně zabezpečený server / nezáplatovaný představat za problém? Jako že se tam někdo přihlásí nějakým hackem? Za předpokladu hodně dlouhého náhodného neuhodutelného hesla. Myslím teďnějaké věci jako buffer overflow, něco co obejde nutnost znát heslo a nějak to obejít.

ačkoli nejde o jádro problému, jedna z věcí, jak se obrnit proti náhodným skererům je si dát do IPTABLES pravidl(a! update / set ) -m recent na vhodně vyladěný timeout a hit-count a v nastavení sshd_config omezit počet hádání v jedné session (Něco jako maxAuthTries MaxSessions MaxStartups / Logingrace)

27. 12. 2023, 19:32 editováno autorem komentáře

Záleží na konkrétní chybě nebo jejich kombinaci – že tam někdo spustí kód pod rootem, aniž by se vůbec přihlašoval; že se přihlásí bez znalosti přihlašovacích údajů, nebo je dokáže odposlechnout nebo získat takové informace, že mu bude stačit pár pokus na uhádnutí přihlašovacích údajů; že dokáže vložit příkazy do existujícího spojení; že dokáže povýšit oprávnění běžného uživatele na vyšší úroveň, třeba až na roota; že dokáže znepřístupnit službu nebo celý server. A spousta dalších.

To blokování IP adres na firewallu při neúspěšných pokusech o přihlášení je zrovna jeden ze způsobů, jak útočníkovi velmi usnadnit útok způsobující odepření služby (že se pak sám na server nepřihlásíte).

fail2ban

Jo, to je dobrej zpusob jak dosnout sam sebe.

Ze zprávičky jsem získal dojem, jako kdyby v SSH serverech bylo běžné RCE, nebo nějaká podobná chyba umožňující snadnou kompromitaci. To se mi ale nezdá, pokud vím, tak poslední a jediná taková chyba, která ještě k tomu nebyla v SSH serveru jako takovém, byl Debianí průšvih s generováním slabých klíčů v roce 2008. Jak to tedy je?

Jako v každém jiném SW, i v implementacích SSH je hromada chyb a s každou úpravou kódu můžou vzniknout další:

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=openssh

Útočník navíc může mít znalost nějaké zero-day zranitelnosti (věřím tomu, že určitě různě po světě existují lidé, jejichž náplň práce je právě objevovat takové zranitelnosti pro nekalé účely) a zřetězit to dohromady s již záplatovanými chybami.

Pravidelná aktualizace SSH serveru není všelék, všechno je to spíše o minimalizaci rizika.

27. 12. 2023, 21:18 editováno autorem komentáře

Která z těch zranitelností vede na praktický útok podle scénáře, který naznačuje zprávička?

podle rychlého Ctrl+F na "remote code" a "remote" nemám dojem, že tam něco vidím.. Špeky s shell metacharaktery v username nepočítám.

Za posledních 25let, mám přesně nula kompromitací roota přes ssh. Stačilo nepoužívat hesla ale klíče.V dřevních dobách k tomu pomáhal i denyhosts, posledních cca 8let pak fail2ban. Samozřejmě, kde to jde, omezit firewall na trusted IP. Mám něco mále přes sto hostů a rozhodně to nehodlám měnit a vrace se k nějakým heslům.

Tohle všechno je samozřejmě skvělé dokud se neplánovaně nepotřebujete přihlásit odjinud. Už několikrát jsem takhle jako trotl komplikovaně zprovozňoval VPN, abych se mohl z jiného, povoleného, hosta přihlásit tam, kam jsem potřeboval. A nebylo to zrovna fajn.

Bezpečné to tedy sice je, přihlášení heslem mám také zakázáno, ale že by to život zrovna ulehčovalo...

A to je tak tezky mit nejake vybrane stroje jako jump-host? ;-) To pak jako trotl se s VPNkou trapit nemusite. V tom popsanem use-case (stovka serveru) neni nutne potreba mit do sveta otevreny vsecko.

Nejsem admin a nemám stovky strojů. Takže ano, je to těžké proto, že bych pak musel platit druhý VPS čímž by se mi cena tak asi zdvojnásobila ;-) Což by mě sice nezruinovalo, ale já to fakt nemám jako koníčka, Danny.

A pak, když spadne ta vlastní VPNka, tak to je taky super zážitek. Kdysi jsem se na tento nesmysl s VPN a přihlášením jen klíčem nechal zlákat a dnes už vím, že to byla chyba. SSH si dávám na jiný port, mám opravdu bezpečné heslo a přísně nastavený fail2ban. Ideální poměr funkčnost/pohodlí.
Příhlášení klíčem si samozřejmě dávám taky, ale nejedná se o opatření s ohledem na bezpečnost, ale s ohledem na pohodlnost při běžném používání. Vypnout remote login pro roota a nemít současně dost volně nastavené sudo - to už bych neudělal. (a proto vlastně už sudo většinou na serveru ani nemám)

Za posledních 25let, mám přesně nula kompromitací roota přes ssh.
To předpokládám prakticky všichni tady.

Stačilo nepoužívat hesla ale klíče.
To určitě nestačí.

V dřevních dobách k tomu pomáhal i denyhosts, posledních cca 8let pak fail2ban.
To by mne zajímalo, jak to podle vás pomáhá k té nule kompromitací. Nejdřív jste psal, že stačí používat klíče, teď to zase nestačí?

Bezpecnostni opatreni je ucelne vrstvit a nespolehat jen na jeden prvek. Takze doplnit prihlasovani klicema o fail2ban rozhodne neni nicemu na skodu. Unika mi, proc tu o tomto mate potrebu polemizovat.

Jenže fail2ban není žádný doplněk nebo vrstvení. fail2ban zaúčinkuje teprve tehdy, když dojde k alespoň jednomu neúspěšnému pokusu o přihlášení a zablokuje jednu zdrojovou IP adresu, případně síť. Pokud by ale útočník zkoušel prorazit přihlášení klíčem a zkoušel by jeden klíč za druhým, proti tomu dostatečně ochrání už samotné přihlášení klíčem. Problém by byl, pokud by útočník uměl přihlášení klíčem obejít – třeba kvůli nějaké 0-day zranitelnosti. Jenže v takovém případě zase útočník nebude nejprve zkoušet nějaké jiné způsoby přihlášení, aby aktivoval fail2ban, ale zkusí rovnou to, o čem věří, že ho dostane dovnitř. Nebo-li obejde rovnou jak přihlášení tak fail2ban, takže žádné vrstvení.

Takže jediný případ, kdy by ochrana fail2ban mohla být účinná, je případ, kdy by chyba spočívala ve výrazném oslabení autentizace, kdy by útočník potřeboval sice více pokusů, ale nějaké omezené množství, aby stálo za to to zkoušet – třeba desítky nebo tisíce. Taková chyba je velmi málo pravděpodobná – navíc pak útočník může fail2ban snadno obejít tím, že bude každý pokus zkoušet z jiné IP adresy.

Takže fail2ban je velmi slabá ochrana. Navíc není pravda, že není ničemu na škodu. Zprovoznění fail2ban znamená, že přidáváte do systému prvek, na který lze snadno zaútočit, aby vyvolal DoS – tedy to, že se nepřihlásí ai oprávněný uživatel, protože útočník dostane jeho IP adresu na blacklist.

Další vrstva je třeba VPN nebo port knocking. fail2ban lze za další vrstvu považovat jen stěží.

Unika mi, proc tu o tomto mate potrebu polemizovat.
Třeba proto, že – jak ukazuje i váš komentář – spousta lidí si neuvědomuje, jaké jsou skutečné přínosy a rizika používání fail2ban.

Smyslem fail2banu opravdu neni zabranit utoku v pripade, ze vam utece vas privatni klic, kdy se na prvni dobrou k systemu prihlasite. Proti brute-force technikam to ale ucinna obrana proste je. A navic neni nutne ji omezovat jen na SSH - pokud nejaka IP takto utoci, neni dovod ji nechat busit i do dalsich sluzeb (a vice versa, pokud neco busi do jinych sluzeb, neni treba je poustet na SSH). V oduvodnenych pripadech, kdy hrozi DoS neni problem aplikovat whitelist. A take ten podle vas zjevne asi nesmysl usnadnuje praci i se SIEM, kdy vam v tech nevyznamnych incidentech nezapadnou ty podstatne veci - jednoduse proto, ze ty nevyznamne incidenty potlacite. Nikdo tu netvrdi, ze je to dokonale - to neni nic. Ale z argumenty, co tu pouzivate Vy opravdu nevyplyva, ze by to clovek pouzivat nemel.

Tohle me fakt pobavilo.

Popis akteru:
diskutujici A - pri vyhledavani "root.cz" "nick" je vysledek: Přibližný počet výsledků: 100 (0,23 s))
diskutujici B - pri vyhledavani "root.cz" "nick" je vysledek: Přibližný počet výsledků: 7 680 (0,27 s)
diskutujici C - pri vyhledavani "root.cz" "nick" je vysledek: Přibližný počet výsledků: 2 970 (0,24 s)
diskutujici D - pri vyhledavani "root.cz" "nick" je vysledek: Přibližný počet výsledků: 103 (0,23 s)

Jeviste:
Webovy server specializovany na uzkou tematiku, kde se schazi obvykle hodne lidi s presvedcenim ze jejich rozhled neni uzce specializovany a diky odbornosti v jedne oblasti rozumi vsemu..

Obdobi:
Vanocni svatky 2023

Scena:

Diskutujici A prichazi na jeviste. A dostane nutkani prolomit tentokrat ticho a kratce zazanamenat nejakou moudrost a odchazi.

Prichazi diskutujici B se spoustou volneho casu a mensi diagnozou opravit na pravou miru vse co si mysli ze je spatne. Znamy mistni stamagast. Vypichne z textu 3 kratke useky a jen rekne ze nejsou pravda.

Prichazi diskutujici C, ktery je obdobou predchoziho a odpurcem. Znamy stamgast nemajici rad jedno sdruzeni a jednu firmu z Brna. Zareaguje kratce na druhy prispevek.

Diskutujici B je tim aktivovan a vysle na obranu 8 krat vice znaku nez puvodni komentar.

Prichazi diskutujici D a cte ten dlouhy prispevek a pak si znovu precte prispevek na ktery reaguje a nakonec i puvodni a zacina se smat. Aktivuje svoji diagnozu a reaguje timto postem... :D

Bezpecnostni opatreni je ucelne vrstvit a nespolehat jen na jeden prvek.
Takze doplnit prihlasovani klicema o fail2ban rozhodne neni nicemu na skodu.

Jenže fail2ban není žádný doplněk nebo vrstvení.

fail2ban zaúčinkuje ... tehdy ...

Takže ... případ, kdy by ochrana fail2ban mohla být účinná...

Takže fail2ban je velmi ... ochrana.

Opravdu to zacina vetou: "Jenže fail2ban není žádný doplněk nebo vrstvení."? Lol

"Unika mi, proc tu o tomto mate potrebu polemizovat."
Třeba proto, že – jak ukazuje i váš komentář – spousta lidí si neuvědomuje, jaké jsou skutečné přínosy a rizika používání fail2ban.

Eh, coze? Takze to znegovani 3 vytazenych veticek z puvodniho prispevku melo byt pouceni pro ostatni ze nekteri ten puvodni prispevek mohou chapat spatne a tim znegovanim jim dojdou skutence prinosy...?

Nejak me prijde ze diskutujici C tim kratkym komentarem uplne znicil diskutujiciho B, ktery vyvraci sam sebe. Nestesti mine prilezisot ukoncit debatu v pro nej vyhodny moment a oba diskutujici zacnou chrlit vic pismen, vic slov a hajit svoji pravdu.

Diskutujici D si radsi znovu precte pravidla diskuze a nechava svuj vyplod spolu s oostanimi u vanocniho stromku a radsi odchazi.

Hezke svatky vsem (i te mlcici vetsine) a stastny Novy rok.

Ja mam v tom obdobi 1 kompromitaci pres ssh. Slo o root exploit na skolnim PC, vymenena binarka ssh klienta a kradez klicu. Utok jsem odhalil a utocnika jsem nalezl vcetne jmena, prijmeni a bydliste. On to nevi, ja se poucil.

Pouzivat klice nestaci. Fail2ban je blbost. Iptables je blbost. Port-knocking mozna.

Yubikey+nepouzivani skolnich PC funguje zatim dobre, klic nejde jen tak ukrast.

Pokud nemáte fail2ban a máte otevřený port na SSH, budete mít i statitisíce pokusů denně (tj. několik za vteřinu), kdy se něco zapíše do logu a udělá se sync(), takže výkon počítače jde do kopru.

Já taky používám Fail2ban především kvůli výkonu, protože bez něj jsou těch dotazů na SSH opravdu statisíce. Jinak kolega k velké spokojenosti používá CrowdSec, což, jestli jsem to dobře pochopil, je mimo jiné komunitní sdílení těch agresivních IP adres, takže daná IP adresa to nemusí na vašem serveru zkusit ani jednou, protože už před tím to zkoušela na řadě jiných a kvůli tomu ji už máte na banlistu. Chystám se to prozkoumat.

Pozrel som si log na serveri, kde nemam fail2ban a fail2ban by mi nepomohol pri znizeni pokusov.
Vidim tam tak 3-4 pokusy z jednej adresy za sebou a potom zmena na inu.
Utocnici niesu blbci a tiez sa ucia/prisposobuju.

To opravdu nebudete. Pokud máte to logování nastavené jen trochu rozumně.

Psal jsem jen svoji zkušenost. Každý ať dělá, co mu přijde nejlepší, hlavně žádný flame. Někdo má rád jeden instantní nástroj, jiný zase rád vrství a dělá překážky, co by kdyby.

ad fail2ban:
Také se chrání i jiné účty než root a tam může být i to heslo. Kapacita linky a počet spojení také není nekonečný. A čistě subjektivně se mi líbí logy, kde není co sekunda několik pokusů o neúspěšný login.

Psal jsem jen svoji zkušenost.
Ne, to že stačilo používat klíče, aby nebyl server napaden, není zkušenost, ale (chybná) dedukce.

Ještě nikdo neukázal, v čem by fail2ban mělo být v případě SSH vrstvení.

Také se chrání i jiné účty než root a tam může být i to heslo.
Proč by tam mělo být heslo?

A čistě subjektivně se mi líbí logy, kde není co sekunda několik pokusů o neúspěšný login.
Já teda používám logy k tomu, aby tam byly užitečné informace. Buď mne ty neúspěšné pokusy o přihlášení nezajímají, tak je nebudu logovat nebo je před dalším zpracováním odfiltruju. Nebo mne zajímají, a pak mne asi budou zajímat i ty neúspěšné pokusy o navázání SSH spojení. Každopádně měnit chování služby kvůli tomu, aby se něco objevovalo nebo neobjevovalo v logu, je podle mne uvažování naruby.

28. 12. 2023, 20:21 editováno autorem komentáře

Ještě nikdo neukázal, v čem by fail2ban mělo být v případě SSH vrstvení.

To nic. Medikaci a lehnout. Dnešní dávka jirsákovin už stačila...

Také se chrání i jiné účty než root a tam může být i to heslo.
Proč by tam mělo být heslo?

Nedokáži na toto odpovědět jinak, než že tam zkrátka heslo bylo.Nevidím všem lidem do hlavy ani je povětšinou neznám. Řeším správu a svět takový, jaký je. Pokud ve vašem světě mají všichni klíče, směle některé bezp. mechanismy vynechejte. Přijde mi ale, že se tu chcete jen pohádat. Hodně zdaru.

Ja nechapu, proc a) preruseni brute force utoku a blokace utocnika neni podle Vas uzitecne (i kdyz je SSH server spravne nakonfigurovany) i kdyz utocnik muze casem zkusit jiny utok a b) kdo Vam kdy zaruci ze prave Vas spravne nakonfigurovany server ma skryty zero-day bug kde prave specialni kombinace jmena a hesla nebo kadence zkouseni zpusobi jednou za cas nejaky buffer overflow a pristup k root konsoli?

preruseni brute force utoku a blokace utocnika neni podle Vas uzitecne (i kdyz je SSH server spravne nakonfigurovany) i kdyz utocnik muze casem zkusit jiny utok
Za prvé není zaručeno, že to ten útok přeruší – jenom možná jednotlivé pokusy zastavíte dřív. Za druhé to „přerušení“ má podstatnou režii. Za třetí to nepřeruší každý útok hrubou silou – třeba distribuované útoky poběží vesele dál. SUma sumárum – užitečnost je za mne dost nízká. A za čtvrté, může to zastavit i legitimní komunikaci, nebo-li to způsobí DoS – to, ve spojení s nízkou užitečností, mne vede k rozhodnutí nepoužívat to, pokud jsou jiné lepší možnosti.

kdo Vam kdy zaruci ze prave Vas spravne nakonfigurovany server ma skryty zero-day bug kde prave specialni kombinace jmena a hesla nebo kadence zkouseni zpusobi jednou za cas nejaky buffer overflow a pristup k root konsoli?
Vycucal jste si z prstu hezký příklad, zejména ta kadence zkoušení mne zaujala. Tu správnou kadenci zkoušení ve vašem extrémně nepravděpodobném příkladu totiž může způsobit i fail2ban a bez něj by k chybě nedošlo.

Zkrátka chyby, u kterých by fail2ban pomohl, jsou tak extrémně málo pravděpodobné, že je srovnatelná pravděpodobnost, že fail2ban naopak takovou chybu aktivuje. A hlavně jsou to všechno pravděpodobnosti, o kterých vůbec nemá smysl se bavit.

Nejpravděpodobnější varianta, kdy by fail2ban pomohl, (už několikrát zde zmíněná), by bylo takové oslabení přihlašování, že by útočníkovi stačily řádově desítky až desítky tisíc pokusů k přihlášení. Taková varianta ale není moc pravděpodobná – a kdybych se jí chtěl bránit, nebudu to dělat pomocí fail2ban, který v takovém případě poskytuje velmi nedokonalou ochranu. Protože takovýhle útok se dá snadno a poměrně levně distribuovat, takže fail2ban by ho nezachytil. Takže takovémuto útoku bych se bránil jiným způsobem, který bude o mnoho řádů bezpečnější, než fail2ban, a přitom je srovnatelně nákladný. Opět, už tu byly mnohokrát zmíněny možnosti – např. VPN nebo nějaký tajný kód na zpřístupnění služby, třeba port knocking, speciální ping, zavolání speciální HTTPS adresy apod.

A to je právě ten problém fail2ban. Že ochrana, kterou přináší, je velmi slabá, má výrazné negativní vedlejší efekty, a přitom není o tolik složitější nakonfigurovat pořádnou ochranu, která nekapituluje před distribuovaným útokem a která chrání před širokou škálou 0-day zranitelností a dokonce i před únikem privátního klíče, ne před jedním obskurním typem zranitelnosti.

fail2ban není samospasitelný stejně jako jakákoliv jiná ochrana. Ale to neznamená, že nemá smysl. Nakonfigurovat ho je triviální a to i na to, co potřebujete vědět. To je celé. Na to je jeho přínos dostatečný už proto, že spousta serverů nezajímá celkem nikoho, ani ty útočníky natolik, aby se obtěžovali organizovat sofistikovaný útok na nějaké bezvýznamné pomalé VPS, odkud se nejspíš stejně nikam nedostanete, a fail2ban na to akorát stačí.

Tak primarne lze asi predpokladat, ze vetsina komercnich subjektu ma dnes moznost definovat seznam 3+ verejnych "pevnych" IP, ze kterych lze pristup na ssh sluzbu na externich serverech omezit. Cili nejdriv VPN s MFA ci jednorazovym heslem do firemni infrastruktury (extra dmz ?), pak ssh/rdp na nejaky interni k tomu urceny server(y), a teprve pak na servery v AWS nebo na verejnych IP (kdyz uz nemate do AWS VPN gw-gw). Funguje to vetsinou o dost lip, nez fail2ban.

V bezpecnem a auditovanem firemnim prostredi se snaze pristupy k externim serverum ridi a audituji.

Caste zmeny hesel uz dnes propaguje snad jenom NUKIB. Maj skluz tak 20 let, jedou CTRL+C && CTRL+V z cehokoliv, co se namane bez ohledu na stari a obsah, takze az budu (snad brzy) v duchodu, mozna si nekde konecne prectu clanek, ze prestali vynucovat 16 znaku jednou za 3 mesice, a na kazdy system jine.

Vlastne asi ne, protoze v ramci kazdorocniho "vylepsovani" do te doby budeme uz na 256 znacich jednou za 3 hodiny, abychom nasledne zjistitli, ze pulka systemu z toho stejne hashuje jen prvnich "x" znaku ...

I prumerne pitoma veverka dnes pouziva kratkou sekvenci znaku nekolikrat za sebou a meni obvykle jen 2 znaky (zacatek, konec) "hesla" ob 3 mesice. Je to tak v poradku, donutili jste je k tomu. (16-2 )/2 = 7, a to se rozhodne vyplati.

To, ze na Windows lze z powershell zjistit podobna (nedostatecne odlisna) hesla ruznych uzivatel v ramci stejne domeny (a co to vypovida o "security" funkcich pouzitych ve windows) zatim neresi NUKIB ani zadna jina banda zoufalcu.

SSH klice jsou sice fajn, ale videli jste nekde v realu nasazeny a funkcni system pro evidenci, identifikaci a audit verejnych ssh klicu ? Nejake "key repository" ? Neco jako centralizovana distribuce ssh klicu splnujici pozadavky AAA ?

Moje zkusenost je, ze pokud za klic pridam komentar typu "backup@nemazat" prezije snad i atomovy vybuch.

Generatory OTP - aktualne mam v mobilu 3 ruzne, k tomu dalsich "x" via SMS, a uz asi 5x jsem zazil situaci, ze kvuli rozbitemu OTP na nejake gateway nebylo mozne se k nejakemu systemu prihlasit (kdyz to bylo opravdu potreba). Je to sice fajn, ale vetsinou to vyzaduje i nejaka "zadni vratka", na ktere se pak obcas bohuzel zapomina.

Od zacatku v IT predpokladame, ze jedine co ma smysl pro zvyseni bezpecnosti je skoleni uzivatel, ale do toho jde naproste minimum financi (a ze strany zamestnavatelu i koncovych uzivatel to vzbuzuje asi nejvetsi odpor). Tak je alespon sikanujeme dlouhymi hesly. To je k ucasti na (temer neexistujicich) skolenich o bezpecnosti rozhodne povzbudi.

ad. > Od zacatku v IT predpokladame, ze jedine co ma smysl pro zvyseni bezpecnosti je skoleni uzivatel,

No a to je pěkně prosím obrovská hloupost.Školený uživatel je výborný k tomu, když chcete vykázat relativně levnou činnost (otravovat lidi odklikáním nějakého nesmyslu na intranetu), případně hodit na někoho chybně navržený bezpečnostní model.
Ano, je pravdou, že vyškolený uživatel je důležitý pro snížení rizik. Ale rozhodně to není a nesmí být hlavní/jediný díl bezpečnosti. Výmluva "ale von na to kliknul" když útok vyřadí celou firmu je poněkud trapný, už proto, že s časem pravděpodobnost čistě kliknutí omylem/z nepozornosti roste nezadržitelně k jedné, i když jsou lidi perfektně vyškolení.

Ostatně můžeme se podívat na jakékoli opravdu kritické systémy - ŘLP, jaderné reaktory, ...
Zaměstnanci jsou perfektně vyškoleni, ale stejně jsou systémy designovány tak, aby selhání jednotlivce nevedlo ke katastrofě.

"ale stejně jsou systémy designovány tak, aby selhání jednotlivce nevedlo ke katastrofě"

Mno ... nejsou. U tech elektraren je jeste jakoz takoz reseno to, ze kdyz se podela pocitac, da se otocit ventilem, ale u toho rizeni ... kdyz ridici rekne klesat, pilot zacne klesat ... ostatne (nejen)proto je tu uz par let snaha lidi eliminovat.

Je rozdíl mezi nechtěným selháním a úmyslem. V letecké dopravě jedna neúmyslná chyba ke katastrofě nevede, dá se napravit.

Jinak v letecké dopravě platí, že rozhoduje pilot. Takže pokud řídící řekne klesat, ale palubní systémy budou pilotovi hlásit, že je moc nízko, tak klesat nebude. Podobně pokud TCAS hlásí nebezpečí kolize s jiným letadlem, má se pilot řídit tím a ne pokyny řídícího – což bohužel zpočátku nebylo úplně jasné.

Koukam ze nam tu prisel odbornik na leteckou dopravu vysvetlit, jak tomu vubec nerozumi. Pilot nema prehled o provozu kolem, takze se pokynem ridiciho ridit musi. A protoze narozdil od Mr Jirsaka vi, ze na ten manevr muze mit sotva jednotky sekund, tak ho neprodlene udela. Pokud by se pokyny neridil, tak v extremnim pripade muze byt letadlo, jak Mr Jirsak netusi, i sestreleno.

Propracovaný evidenční systém na přístupy pomocí SSH provozuje třeba Facebook, ale řeší si to přes SSH certifikační autoritu a vystavuje krátkodobé klíče.
Doporučuji čtení knihy SSH Mastery Michaela W Lucase. Dává slušné postřehy, jak SSH používat v celé řadě situací.

Na OTP zkuste FreeOTP+. Není to na úplně všechno, protože různé banky a spořitelny mají názor, že ví všechno nejlíp, ale na spoustu věcí to stačí.

Správu klíčů pro SSH (krátkodobé klíče) umí mimo jiné i Hashicorp Vault.

Banky a spořitelny totiž nepotřebují jednorázové heslo, ony potřebují podpis transakce. Tj. typicky něco, co se změní, když změníte číslo cílového účtu nebo částku. Kdyby banky používaly jednorázové heslo pro potvrzení bankovního převodu, útočník vám pod rukama změnil číslo účtu a částku, vy byste to potvrdil jednorázovým heslem a to heslo by sedělo i na podvržené údaje, bylo by to k ničemu.

BTW: sice velice maly, tedy 1 vzorek :) ale ma zkusenost s SSH na VPS
- nekolik tisic pokusu za den, kazdy z jine IP, takze fail2ban by nepomohl
- zmena portu z 22 na jinej pomohla => pokusu 0
(prihlaseni heslem samozrejme zakazane)

ale jinak primarne misto jen zmeny portu nebo nasazeni fail2ban, tak port knocking s fwknop, distra to maji v repo (server i client side) vcetne OpenWRT, je i klient pro Android...

Ano, tam fail2ban/sshguard samozřejmě nepomůže. Ale přesto mám aktuálně trvale zablokovaných necelých 39 000 IP adres. A to je ten sshguard blokuje trvale až po cca třetí sérii chybných pokusů. Úplně k ničemu tedy zcela zjevně není.