Το thread του Debian (v.5)

[jim_p]

Για ποιο λογο αυτο εδω εγινε ξεχωριστο πακετο οταν ο συγχρονισμος της ωρας εινια built in feature του systemd απο τις πρωτες εκδοσεις του?
https://packages.debian.org/sid/systemd-timesyncd

[imitheos]

Για ποιο λογο αυτο εδω εγινε ξεχωριστο πακετο οταν ο συγχρονισμος της ωρας εινια built in feature του systemd απο τις πρωτες εκδοσεις του?
https://packages.debian.org/sid/systemd-timesyncd

Edit: Έσβησα αυτό που έγραψα πριν γιατί ήταν μια γενική συνήθεια σε διανομές αλλά δεν ισχύε στο debian οπότε έγραψα μ..κίες. Ο πραγματικός λόγος που διαχωρίστηκε το πακέτο στην περίπτωση του debian φαίνεται στο changelog και είναι το παρακάτω:

systemd (245.4-2) unstable; urgency=medium

[ Balint Reczey ]
* Ship systemd-timesyncd in a separate package.
The new systemd-timesyncd package conflicting with other NTP-related
packages resolves the problems arising when running systemd-timesyncd
and other NTP servers on the same system.
(LP: #1849156, Closes: #805927, #947936)

-- Michael Biebl <biebl@debian.org> Sat, 04 Apr 2020 08:59:50 +0200

Και σκέφτηκα αρχικά να γράψω ότι ίσως δημιουργούταν πρόβλημα με τα services αν είχες εγκατεστημένους και άλλους time δαίμονες αλλά λέω δεν μπορεί να είναι αυτό.

[jim_p]

Πηγαν να με χακαρουν ή μου φαινεται? Ανοιξα πριν λιγο το cockpit και βλεπω αυτο φατσα καρτα, με κοκκινα γραμματα!

Κώδικας:

There were 6 failed login attempts since the last successful login.
Last login: Apr 5, 2020 11:26:01 AM on tty2
Last failed login: Apr 6, 2020 2:08:08 PM from 141.98.81.113 on ssh:notty

Για αρχη θα αλλαξω την πορτα στο ρουτερ...

- - - Updated - - -

Πως θα ζητησω απο το dkms να μου ξαναχτισει τον nvidia 340 τωρα που τον πατσαρα?

- - - Updated - - -

Τα καταφερα. Για το patch ηθελε αυτο

Κώδικας:

patch /usr/src/nvidia-legacy-340xx-340.108/uvm/Makefile < 03-unfuck-for-5.5.x.patch

και για να τον ξαναχτισει αυτο, απο recovery mode.

Κώδικας:

dkms autoinstall

[pap]

Πηγαν να με χακαρουν ή μου φαινεται? Ανοιξα πριν λιγο το cockpit και βλεπω αυτο φατσα καρτα, με κοκκινα γραμματα!

Κώδικας:

There were 6 failed login attempts since the last successful login.
Last login: Apr 5, 2020 11:26:01 AM on tty2
Last failed login: Apr 6, 2020 2:08:08 PM from 141.98.81.113 on ssh:notty

Για αρχη θα αλλαξω την πορτα στο ρουτερ...

για δεύτερο εγκατέστησε κανένα fail2ban (απορία: με κωδικό είσαι ή με public-key?)

[jim_p]

Με κωδικο ειμαι και με την 22 forwarded στο ρουτερ, γιαυτο με πετυχαν ετσι ευκολα. Το fail2ban θελει κατι ιδιαιτερο σαν ρυθμιση ή απλα το βαζω και τερμα?

- - - Updated - - -

Το πιο απλο howto που βρηκα ειναι αυτο εδω. Αρκουν ολα αυτα που λεει εκει περα ή θα χρειαστω κι αλλα?
https://www.techrepublic.com/article...-server-18-04/

[pap]

Για το ssh ειναι στο default configuration, οποτε απλα κανεις την εγκατασταση και το τρεχεις, αλλα και να χρειαστεις να φτιαξεις local.jail δεν ειναι τιποτε υπαρχουν χιλιαδες γραμμες τεκμηριωσης στο internet. Σε server ubuntu που το ειχα ολα καλα, τωρα σε ενα server opensuse δεν βλεπω κινηση στο log του και με ανησυχει λιγο. Επισης και να αλλαξεις port αργα ή γρηγορα θα σε ξαναβρουνε δεν υπαρχει περιπτωση, εδω στον οικιακο μου υπολογιστη βλεπω να κανουν port scan (Κινεζοι, Τουρκοι και Ρωσοι) Τελος νομιζω θα ηταν καλυτερο,αν ειναι εφικτο να πας σε login με public-key, νομιζω ειναι ποιο ασφαλη.

[MitsakosGR]

Καλό θα ήταν να αλλάξεις την 22 σε κάτι άσχετο. Επίσης μπορείς να δοκιμάσεις και το port knocking για να ανοίξει την 22!

[jim_p]

Αν βαλω key, δεν θα πρεπει να το εχω σε καθε client που χρησιμοποιω για να συνδεθω με ssh? Το ιδιο και για το knockd. Θα πρεπει να συνδεθω σερι σε 3 πορτες, αν καταλαβα καλα, για να με αφησει?
Μηπως να δω τι πορτες εχω ανοιχτες γενικα και μετα να παω να ξαναενεργοποιησω τις abuse ports απο τον οτε?

[pap]

Σε καθε client θα φταιξεις ενα ζευγαρι public-private key και μετα θα στειλεις το public key στον server σου.Αν ειναι μπελας αστο απλα φροντισε ο κωδικος σου να ειναι ισχυρος, δεν νομιζω να εχεις θεμα κυριως με τα ban που θα τρωνε δυσκολα θα σου κανουν κατι. Αυτο με τον ΟΤΕ δεν το καταλαβα. Abuse δηλαδη τι; το εχω σε καθε whois που τρεχω αλλα δεν ειμαι σιγουρος τι κανει.

[jim_p]

Ο οτε εχει κλειστες ολες τις πορτες απο 1 ως 1024, την 80, την 8080 και ακομα μια αν θυμαμαι καλα. Και στις ανοιγει αν συμπληρωσεις μια φορμα στη σελιδα τους. Ετσι εκανα πριν 5 χρονια και τις ανοιξα. Κατσε να ρωτησω στο σχετικο θεμα να μου πουνε.
Κωδικο δεν θελω να αλλαξω, επειδη χρονια τωρα εχω τον ιδιο και το χερι μου παει αυτοματα οταν τον πληκτρολογει. Βασικα, μια φορα τον αλλαξα δοκιμαστικα και επειδη πληκτρολογουσα μηχανικα τον παλιο κωδικο, με πεταγε και αρχιζα τα καντηλια μεχρι που τον αλλαξα.

[pap]

Σε καταλαβαινω για τον κωδικο, να σου πω δεν πιστευω οτι θα εχεις πραγματικο προβλημα, απλα βαλε fail2ban να εισαι ποιο σιγουρος. Εμενα πχ με το fail2ban αρχησα να εχω προσπαθειες απο αλλες ip απο το ιδιο δικτυο ομως, για λιγο καιρο και μετα εκοψα ολοκληρα δικτυα στο ufw-iptables και ησυχασα. Βεβαια ολα για ψυχολογικους λογους εγιναν δεν υπηρξε ουτε μια υπονοια οτι κατι καταφεραν.

[imitheos]

Σίγουρα fail2ban, port knocking, κτλ βοηθάνε αλλά ίσως είναι overkill για αυτό που θέλεις. Άλλαξε όπως είπες την πόρτα και είσαι οκ για το 99% των brute forcers. Για να μην μπλέξεις με ΟΤΕ και φόρμες, βάλε μια τυχαία πόρτα > 1024 ώστε να μην την κόβει.

Κώδικας:

% cat /tmp/rp.sh 
#!/bin/bash

rport=1000

while [ $rport -le 1500 ]; do
	rport=$RANDOM
	grep "${rport}/tcp" /etc/services > /dev/null
	if [ $? = 0 ]; then
		rport=1000
	fi
done
echo Random port not assigned in services is $rport

Έξοδος:
% /tmp/rp.sh 
Random port not assigned in services is 22404
% /tmp/rp.sh 
Random port not assigned in services is 15086
% /tmp/rp.sh 
Random port not assigned in services is 4856

Το $RANDOM στο bash νομίζω επιστρέφει αριθμούς στο εύρος 1 - 32767 οπότε δεν εκμεταλλεύεται όλες τις διαθέσιμες πόρτες αλλά δεν νομίζω ότι μας νοιάζει στη συγκεκριμένη περίπτωση. Επίσης και αυτό το script ακόμη είναι overkill μια και κανένας brute forcer δεν δοκιμάζει τις 10Κ+ πόρτες που υπάρχουν στο services αλλά μόνο τις 40-50 γνωστές απλά το έβαλα έτσι για πιο πολύ peace of mind. Πάρε την πόρτα που θα σου βγάλει και κότσαρε την στο sshd_config.

[MitsakosGR]

Αν βαλω key, δεν θα πρεπει να το εχω σε καθε client που χρησιμοποιω για να συνδεθω με ssh? Το ιδιο και για το knockd. Θα πρεπει να συνδεθω σερι σε 3 πορτες, αν καταλαβα καλα, για να με αφησει?
Μηπως να δω τι πορτες εχω ανοιχτες γενικα και μετα να παω να ξαναενεργοποιησω τις abuse ports απο τον οτε?

Με το Port Knocking δεν χρειάζεσαι το knockd σε κάθε σύστημα, μόνο στον server. Μπορείς να φτιάξεις ένα απλό script που κάνει το port knocking (πχ με telnet ή netcat) και μετά συνδέεται με ssh.
Πχ με το ακόλουθο knockd.conf

Κώδικας:

[options]
	logfile = /var/log/knockd.log
	interface = enp0s3

[opencloseSSH]
        sequence      = 5001,6001,7001
        seq_timeout   = 5
        tcpflags      = syn
        start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        cmd_timeout   = 20
        stop_command  = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

συνδέομαι με αυτόν τον τρόπο:

Κώδικας:

#!/bin/bash

SERVER=192.168.21.203
USER=dimitris

PORTS=(5001 6001 7001)

for i in "${PORTS[@]}"
do
        telnet $SERVER $i 2>/dev/null &
        sleep .1
done

ssh $USER@$SERVER

Το sleep χρειάζεται για να "βεβαιωθείς" ότι τα πακέτα φτάνουν με τη σωστή σειρά.

Κάτι αντίστοιχο μπορείς να κάνεις και στα windows και μετά να καλείς το putty, vs code ή όποιο άλλο πρόγραμμα συνδέεται με ssh.

Κώδικας:

start /B telnet 192.168.21.203 5001
start /B telnet 192.168.21.203 6001
start /B telnet 192.168.21.203 7001

Το καλό/κακό αυτού του τρόπου που έχω (έναντι σε διαφορετικό open/close) είναι ότι δεν χρειάζεται να θυμηθείς να κλείσεις τις πόρτες. Βέβαια ότι σύνδεση είναι να κάνεις πρέπει να την κάνεις μέσα σε 20sec. Αν συνδεθείς μετά η σύνδεση παραμένει! Αλλιώς μπορείς να πας με την λογική του open/close ώστε να μένει ανοιχτό το port όσο χρειάζεσαι.

Κώδικας:

[openSSH]
	sequence    = 7000,8000,9000
	seq_timeout = 5
	command     = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
	tcpflags    = syn

[closeSSH]
	sequence    = 9000,8000,7000
	seq_timeout = 5
	command     = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
	tcpflags    = syn

[imitheos]

Γράφαμε μαζί με τον MitsakoGR οπότε δεν είδα πριν τι έγραψε. Να προσθέσω ένα μικο nitpick στο πολύ ωραίο παράδειγμά του.

Σε πάρα πολλούς οδηγούς βλέπεις να προτείνουν μια παραλλαγή του "/usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT" που έγραψε ο MitsakosGR. Είναι σωστό εννοείται αλλά εμένα δεν μου αρέσει γιατί μπορεί υπό συνθήκες να μην σου παίξει και να ψάχνεις γιατί δεν παίζει.

Αν το firewall είναι έτσι ρυθμισμένο ώστε να έχει policy DROP και να ορίζει κανόνες που επιτρέπουν ορισμένα πακέτα, τότε το παραπάνω θα παίξει. Πολλά firewall όμως είναι έτσι ρυθμισμένα ώστε ενώ μεν ορίζουν policy DROP, παράλληλα βάζουν ένα τελευταίο κανόνα που να κάνει reject (ίσως και με κάποιο limit). Έτσι λοιπόν τα πακέτα κόβονται λόγω αυτού του κανόνα και δεν φτάνουν ποτέ στο policy. Σε αυτή την περίπτωση, η εντολή "-A INPUT" θα προσθέσει τον κανόνα μετά από το reject και έτσι δεν θα έχει κανένα αποτέλεσμα και θα ψάχνεις γιατί δεν παίζει. Κάποιοι οδηγοί λοιπόν αλλάζουν τον -A σε -I ώστε να μπει η καταχώρηση στην αρχή της αλυσίδας INPUT. Αυτό θα παίξει σωστά αλλά μπορεί (πιο σπάνια) επίσης να προκαλέσει προβλήματα.

Για αυτό το λόγο εγώ προτείνω να ορίζεται πάντα μια δική μας αλυσίδα στο firewall (η οποία θα είναι άδεια υπό κανονικές συνθήκες) και στα διάφορα προγράμματα όπως knockd, fail2ban, κτλ να προσθέτουμε και να αφαιρούμε από εκεί καταχωρήσεις ώστε να μην υπάρχει ποτέ πρόβλημα.

[MitsakosGR]

Ωραία παρατήρηση, δεν το είχα σκεφτεί ποτέ, καθώς τις περισσότερες φορές το ορίζω απλά σαν DROP χωρίς κανένα κανόνα στο τέλος.

Αλλά ωραίο και αυτό με το Chain. Θα το έχω στα υπόψιν!