Marek Kierdelewicz <marek@piasta.pl> writes:
> Brak acl/firewallingu portu 22 koĹczy siÄ atakiem sĹownikowym /
> bruteforce z azjatyckich serwerĂłw lub rozsianych po inecie botnetĂłw.
W jakim sensie "konczy"?
> Nawet jeĹźeli ktoĹ lubi pamiÄtaÄ hasĹa o imponujÄ
cej trudnoĹci i
> zawiĹoĹci to i tak zyska megabajty logĂłw do przejrzenia (nieudane
> logowania). Ĺwietna lektura do poduszki dla kaĹźdego administratora
> sieci. Niech koledzy z otwartym portem 22 na linuxach siÄ pochwalÄ
ile
> im przyrasta dziennie plik /var/log/messages.
Aha. Ale wiesz... tak w ogole, mozna to logowanie wylaczyc, jesli ktos
nie potrzebuje. A tak normalnie, mozna po prostu przegladac automatem.
Sa gotowe automaty dokladnie do tego celu. Od wielu lat zreszta.
Pokazuja bardzo ladne statystyki nieudanych i udanych logowan.
Martwisz sie botami? Zdecydowanie wiekszym zmartwieniem moze byc atak
zdeterminowanego wlamywacza.
> Brak aclowania/firewallingu wĹasnej infrastruktury to
> nieodpowiedzialnoĹÄ.
To zdanie nie oznacza dokladnie nic.
ACLki itd. maja za zadanie uniemozliwic niepozadany ruch. Problem w tym,
ze ruch ssh moze byc pozadany.
> Jasne, rozumiem, Ĺźe wiÄkszoĹÄ z nas ma lapka, modem 3g i telefon, ktĂłry
> czasem zadzwoni. Zawsze jednak istniejÄ
vpny i inne alternatywne
> rozwiÄ
zania na bezpieczny dostÄp zdalny.
Ssh to wlasnie jest bezpieczny dostep zdalny. VPNy itd. sa mniej-wiecej
takim samym zagrozeniem, przeciez tak samo nie uzywaja kanalu poza
kontrola potencjalnego wlamywacza.
-- Krzysztof HalasaReceived on Tue Aug 10 22:50:04 2010
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 10 Aug 2010 - 23:40:00 MET DST