TL
че доказать-то хочешь?)
Size: a a a
2020 December 08
a6
не, я понял. оставляем пароли, меняем порт на 31337, настраиваем fail2ban и считаем, что собственноручно сделанная дыра - она в безопасности
От 0day и серьёзного чувака который задумал тебе поломать сервачки это не спасёт. У меня всё просто, даже если какой черт проломит внешний контур (что само по-себе врядли) то на хостах он ничего не увидит полезного (я сразу замечу это через siem/hids метрики и другие плюшки), вся инфа - там где надо (секреты обфурсцированы), а конфижется всё в одну сторону и проломится дальше будет практически невозможно.
a6
ок чувак
главный-то прикол в том что там 2 ссшд
на 22 порту стандартный с ключом
любой бот на него сагриться и не будет долбить нестандартный
так понятнее?)))))
главный-то прикол в том что там 2 ссшд
на 22 порту стандартный с ключом
любой бот на него сагриться и не будет долбить нестандартный
так понятнее?)))))
Хорошая тема кстати - банить ботов через триггеры ханипота.
TL
Хорошая тема кстати - банить ботов через триггеры ханипота.
ну там много идей с этим связанных есть
не только для ssh
не только для ssh
ДА
От 0day и серьёзного чувака который задумал тебе поломать сервачки это не спасёт. У меня всё просто, даже если какой черт проломит внешний контур (что само по-себе врядли) то на хостах он ничего не увидит полезного (я сразу замечу это через siem/hids метрики и другие плюшки), вся инфа - там где надо (секреты обфурсцированы), а конфижется всё в одну сторону и проломится дальше будет практически невозможно.
и у тебя при всём что описано - парольная авторизация?
TL
ясно
доебался до пароля а теперь заднюю не включает
доебался до пароля а теперь заднюю не включает
ДА
ясно
доебался до пароля а теперь заднюю не включает
доебался до пароля а теперь заднюю не включает
ну да. и до нестандартного порта, и рассматривание всего этого в совокупности как средства защиты. тогда уж с каким-нибудь knockd возможно стоило поиграть. но лучше да, pin+otp, как завещают ниже
a6
и у тебя при всём что описано - парольная авторизация?
нет конечно, я ж описал - токены и ключи именные, дальше ldap, совсем серьёзная инфа в air gapsах.
TL
а как без пароля попасть на свой сервер если нет личного компа и флешки с ключом?
TL
или задача хуёвая?)
ДА
а как без пароля попасть на свой сервер если нет личного компа и флешки с ключом?
Если фирма надеется на одного конкретного человека и на то, что он в любую секунду может всё починить - это опасно
TL
причем тут блять ФИРМА
TL
это МОЙ КОМП)
TL
я с него работу работаю, деньги зарабатываю)
ДА
эм. с этого бы и начал. ну или я пропустил
a6
а как без пароля попасть на свой сервер если нет личного компа и флешки с ключом?
никак, просрал токен - иди отдыхай. Если совсем дисастер, то я приеду к своим сервачкам лично и с квмки зайду куда мне надо.
ДА
на локалхосте каждый делает как хочет и может хоть 100 раз ошибаться, его проблемы
TL
эм. с этого бы и начал. ну или я пропустил
пиздец) сорян что баннер не повесил)
ДА
пиздец) сорян что баннер не повесил)
ну тут серьёзные дяди же
TL
на локалхосте каждый делает как хочет и может хоть 100 раз ошибаться, его проблемы
а кроме работы и инфры компаний в мире ничего и нет