🥷 Джонни вещает: тонкая настройка SSH для безопасности серверов

SSH — это основной инструмент удаленного управления серверами, но стандартные настройки часто становятся уязвимостью для атак.

🖥 Правильная конфигурация позволяет значительно повысить уровень безопасности, вот необходимые шаги:

1. Измените порт по умолчанию: Порт 22 — стандартная цель для брутфорс-атак. Чтобы усложнить задачу злоумышленникам, измените его на нестандартный:

sudo nano /etc/ssh/sshd_config

Найдите строку Port 22 и укажите другой порт, например Port 2222. Затем перезапустите службу SSH:

sudo systemctl restart sshd

2. Запретите вход для root: Вход под root-аккаунтом повышает риск компрометации. Чтобы его отключить, в файле sshd_config измените параметр:

PermitRootLogin no

3. Используйте ключи вместо паролей: Аутентификация по ключам надежнее, чем по паролям. Создайте ключи с помощью команды:

ssh-keygen -t rsa -b 4096

Затем добавьте публичный ключ на сервер:

ssh-copy-id user@server_ip

Отключите аутентификацию по паролю:

PasswordAuthentication no

4. Ограничьте доступ по IP: Если к серверу подключаются только с определенных адресов, настройте правила на стороне брандмауэра (например, с помощью UFW или iptables).

5. Настройте Fail2Ban: Этот инструмент блокирует IP-адреса, с которых происходят многочисленные неудачные попытки входа:

sudo apt install fail2ban

После установки Fail2Ban автоматически начнет защищать сервер от брутфорса.

#SSH | 😏 @iscode

🥸 Троянский конь: или о том, как остаться незамеченным РКН

Совсем недавно, а точнее 14 января РКН устраивал демо-версию тотального интернет-шатдауна, а причиной всему работа ТСПУ.

В этой статье речь пойдёт о протоколе, который, выделяется на общем фоне тем, что трафик шифруется и маскируется под подключение к популярным сайтам, иными словами, это тяжёлая артиллерия от наших товарищей-китайцев, которые на обходе блокировок собаку съели.

⤷ habr.com/ru/users/stein_osint/

#VPN #Trojan | 😈 @secur_researcher

🥷 Джонни вещает: алиасы в SSH

Скажу честно, до последнего времени не знал и не использовал. Оказались очень удобными.

В более-менее крупной компании часто оказывается, что имена серверов выглядят так: spb-MX-i3.extrt.int.company.net. И пользователь там не равен локальному.

🖥 То есть логиниться надо так: ssh ivanov_i@spb-MX-i3.extrt.int.company.net.

Каждый раз печатать — туннельных синдромов не напасёшься🙅‍♂️ В малых компаниях проблема обратная — никто не думает о DNS, и обращение на сервер выглядит так: ssh root@192.168.1.4. Короче, но всё равно напрягает. Ещё большая драма, если у нас есть нестандартный порт, и, например, первая версия SSH (привет цискам).

🖥 Тогда всё выглядит так: ssh -1 -p 334 vv_pupkin@spb-MX-i4.extrt.int.company.net. Удавиться. Про драму с scp даже рассказывать не хочется.

— Можно прописать общесистемные alias'ы на IP (/etc/hosts), но это кривоватый выход (и пользователя и опции всё равно печатать). Есть путь короче.

Файл ~/.ssh/config позволяет задать параметры подключения, в том числе специальные для серверов, что самое важное, для каждого сервера своё. Все доступные для использования опции можно увидеть в man ssh_config (не путать с sshd_config). (жду ваш реакшен под постом)

#SSH #Alias | 😊 @iscode

🥷 Джонни вещает: откуда этот конфиг? [Debian/Ubuntu]

Цель этого поста: показать технику отладки в debian/ubuntu, связанную с "поиском первоисточника" в системном конфигурационном файле.

🖥 Тестовый пример: после долгих издевательств над tar.gz копией установленной ОС и после её восстановления и установки апдейтов мы получаем сообщение:

update-initramfs: Generating /boot/initrd.img-4.15.0-54-generic
W: initramfs-tools configuration sets RESUME=/dev/mapper/U1563304817I0-swap
W: but no matching swap device is available.
I: The initramfs will attempt to resume from /dev/dm-1
I: (/dev/mapper/foobar-swap)
I: Set the RESUME variable to override this.

🕹 Цель: понять, откуда это значение (U1563304817I0) пришло и как его правильно поменять. Это первый попавшийся пример, не особо интересный сам по себе, но удобный, чтобы показать практические методы работы с Linux.

Шаг номер 1: Откуда пришёл RESUME?

# cd /etc
# grep -r RESUME
initramfs-tools/conf.d/resume:RESUME=/dev/mapper/U1563304817I0-swap

Мы рекурсивно (-r) ищем упоминание этой переменной в каталоге /etc (там, где большинство конфигов). Мы находим conf.d сниппет, который явно используется пакетом initramfs-tools.

Теперь новый вопрос, а откуда этот сниппет? - есть три варианты:
1. Магический артефакт(кто-то положил и забыл ✋)
2. Конфиг из пакета
3. Конфиг, сгенерированный каким-то скриптом из системных пакетов

Теперь проверяем c помощью dpkg -S он позволяет нам поискать по базе установленных файлов и найти к какому пакету файл относится.

dpkg -S initramfs-tools/conf.d/resume
dpkg-query: no path found matching pattern *initramfs-tools/conf.d/resume*

Вот пример удачного поиска:

dpkg -S resolv.conf
manpages: /usr/share/man/man5/resolv.conf.5.gz
systemd: /lib/systemd/resolv.conf

Возвращаемся к нашей задаче: файл initramfs-tools/conf.d/resume не устанавливается в систему из пакета. Может быть он генерируется в postinst/preinst скрипте пакета? Проверяем третью версию 😡

# cd /var/lib/dpkg/info/
# grep -r initramfs-tools/conf.d/resume *
initramfs-tools-core.postrm: rm -f /etc/initramfs-tools/conf.d/resume

В каталоге /var/lib/dpkg/info/ лежат распакованные версии всех "метафайлов" пакетов (скрипты установки/удаления, описания пакетов и т.д.). Удивительно, но этот файл удаляется в postrm (при удалении) пакета initramfs-tools-core. Посмотрим содержимое его postinst… Ничего, касающегося conf.d директории.

Давайте взглянем на файлы из состава пакета initramfs-tools-core.

# dpkg -L initramfs-tools-core
...
/usr/share/initramfs-tools/hooks/resume
...

Команда dpkg -L позволяет посмотреть все файлы, которые есть в системе от указанного пакета. Я выделил интересный для изучения файл. Изучение файла показывает как эта переменная используется, но не отвечает откуда он появляется.

💳 Если пост понравился, жду от вас реакций и выпускаю на ту же тему, но уже о базе ответов debconf

#Debian #Ubuntu #dpkg | 🏃‍♂️ @iscode

🥷 Джонни вещает: а ваша система мониторинга орёт, когда меняется маршрутизация?

Допустим вы интернет провайдер или у вас своя сеть с динамической маршрутизацией, тогда собственно сабж…
Резонный вопрос, а зачем? Причин вести логи изменения много, а орать система мониторинга должна по той простой причине, что никто не застрахован от ошибки. Об ошибке речь пойдёт позже (в следующем посте), а пока, если вы знаете, как работает маршрутизация, внимательно проанализируйте и ответьте себе на вопрос на рисунке.

🕹 Правильный ответ на вопрос – через маршрутизатор 3.3.3.3, просто потому, что префикс через этот маршрутизатор длиннее.

Когда принимается решение, какой из двух маршрутов победит, всегда, прежде всего, проверяется префикс. Если до хоста есть два маршрута с одинаковым префиксом, то тогда победит маршрут с более приоритетным протоколом маршрутизации, если и протоколы маршрутизации одинаковы, то тогда будут браться во внимание внутренние метрики протокола маршрутизации.

— Но мы немного отвлеклись, на самом деле, я хотел рассказать давнюю историю, примерно 2006 года о том, как я случайно получил возможность вмешиваться в маршрутизацию своего провайдера, и что в подобном случае можно сделать, если интересно - реакция 🔥

#Network #Routing | 😊 @iscode

🥷 Джонни вещает: как обнаружилась ошибка

Все началось с того, что мне надо было настроить IDS snort. Пакеты ловить надо было на demark-е с провайдером. Поэтому было настроено зеркалирование порта на свитче, в который включался провайдер. Внутренним интерфейсом сервер snort был в локальной сети, внешним – нюхал зеркальный трафик с demark-a. Естественно, в подобных случаях при настройке всегда запускается tcpdump или что-либо подобное.

— Когда я начал анализировать, что получил tcpdump-ом, обнаружилась интересная вещь – маршрутизатор провайдера периодически отсылал на меня EIGRP HELLO multicast пакеты

Сначала меня заинтересовало, как такое могло произойти. Я не работал до этого с EIGRP, однако быстро выяснил, что при настройке EIGRP по умолчанию все интерфейсы переводятся в активный режим и маршрутизаторы сразу же начинают искать соседей по маршрутизации, используя для этого multicast. Можно глобально перевести все интерфейсы в пассивный режим и делать активными только определенные из них. Можно оставить все интерфейсы активными и переводить не нужные (те которые смотрят на клиентов) в пассивный режим. Провайдер использовал второй подход. Скорее всего, кто-то из сетевых администраторов провайдера ошибся и не перевел интерфейс, который смотрел на меня, в пассивный режим.

🕹 Стало понятно, как такое могло получиться: Допустим, вы конфигурируете, в этот момент вас отвлекает минут на 5 телефонный звонок, вы возвращаетесь к работе и понимаете, что все уже сконфигурировали и все работает. Сохраняете конфигурацию, но забыли, что не перевели интерфейс в пассивный режим. (следующая часть будет про варианты эксплуатации ошибки, жду ваших 🔥)

#Network #Routing | 😊 @iscode

🥷 Джонни вещает: варианты эксплуатации ошибки

Получалось, что я могу настроить у себя EIGRP, и включиться в маршрутизацию провайдера. Естественно, меня заинтересовало, как это можно использовать. Чем больше я над этим думал, тем интересней становилось.

🌟 Надо сказать, что у меня были отличные отношения с провайдером. Сотрудники провайдера донесли до нас, что они, в принципе, не против того, что мы попытаемся их взломать и жаловаться не будут. Главное ничего не сломать, и в случае если что-то обнаружим, сказать им. Все люди – все ошибаются. Их бесплатно тестируют на проникновение, а у нас прикольный полигон.

Поэтому я позвонил провайдеру, сказал, что кое-что обнаружил, что именно, скажу на следующий день, а пока поэкспериментирую. Если увидят, что я делаю, пускай прикроют. На самом деле было интересно, обнаружат мое вмешательство в маршрутизацию или нет. Не обнаружили. В следующем посте разберемся, что можно в этом случае сделать, от вас как и прежде - 🔥

#Network #Routing | 😊 @iscode

CrowdStrike использует ИИ, чтобы сократить 40 часов в работе SOC 🤷‍♂️

— CrowdStrike решила ввести систему, которая автоматизирует оценку оповещений для команд центров безопасности (SOC).

— По заявлениям, точность составляет более 98% и сокращает ручной триаж более чем на 40 часов в неделю, при этом не теряя контроля и точности.

— Система фильтрует ложные срабатывания и закрывает оповещения с низким уровнем риска, позволяя аналитикам сосредоточиться на реальных угрозах.

#News | 😊 @iscode

🥷 Docker в виртуальной машине

#meme | 😊 @iscode

Трансатлантический кабель Anjana от Meta* установил рекорд пропускной способности через Атлантический океан 🔧

24 оптоволоконных пары, каждая из которых способна передавать по 20 Тбит/с, обеспечат рекордную для Атлантики скорость около 500 Тбит/с.

Высокая пропускная способность обеспечена благодаря технологии пространственного мультиплексирования (SDM). Ещё одна важная особенность Anjana — его маршрут. Если в 2000 году практически все трансатлантические кабели соединяли Лондон и Нью-Йорк, а европейский трафик проходил через Великобританию, то новая цифровая магистраль соединяет Мертл-Бич (Myrtle Beach, Южная Каролина) и Сантандер (Santander, Испания).

#News | 😏 @iscode