-
- Тема с VPS/VDS интересная. Тоже планирую завести для некоторых экспериментов. Переживаю как быстро смогут хакнуть мой сервер :). Не помешала бы информация и рекомендации от опытных и продвинутых коллег с сахары. - Ruslan(08.04.2019 10:18)
- Использую simplecloud.ru или scaleway.com если нужно за пределами РФ. У обоих есть почасовая оплата, к обоим претензий нет. По поводу хакнуть - за несколько лет ни разу, правда наружу торчат только ssh и впн на 443 порту, хотя ломятся непрерывно. - ant333(08.04.2019 12:24)
- Где лучше хостится, какой линух ставить, что настраивать и т.д. - Ruslan(08.04.2019 10:19)
- Я нескольких пытал. Остановился на Vscale. Очень удобно и недорого. Все летает. Можно завести машинешку на час. Потом удалить. Обходится в копейки(реально). Чистенькая машина устанавливается за секунды, как только ткнешь мышкой нужную. Пакеты Гудвин(803 знак., 08.04.2019 11:35)
- Спасибо! - Evgeny_CD(08.04.2019 21:51)
- Vscale по сравнению с Яндекс-облаком проще и быстрее =)) в плане VM... юзаю и то и то сейчас... - sav6622(08.04.2019 12:44)
- Я нескольких пытал. Остановился на Vscale. Очень удобно и недорого. Все летает. Можно завести машинешку на час. Потом удалить. Обходится в копейки(реально). Чистенькая машина устанавливается за секунды, как только ткнешь мышкой нужную. Пакеты Гудвин(803 знак., 08.04.2019 11:35)
- есть технология port knocking, не знаю конкретно как вы могли бы реализовать blackprapor(1299 знак., 05.04.2019 22:36 - 22:52)
- Хочется именно белый IP - надоели извраты. Про UDP с хэшами уже тут писал. Больше никаких открытых портов не надо. Тогда и машинешку можно самую жиденькую за 200 руб/мес. на том же Vscale. И трафик у них безлимитный вроде как. Кстати, консоль у Гудвин(565 знак., 05.04.2019 23:35 - 23:47)
- Завтра твоя дельфя подвиснет и у тебя будут проблемы с отсутствием входа. Это почему не стоит изобретать самодельные кривые колеса, нестандартные порты и всё такое прочее -- мертвому припарки. - fk0(10.05.2019 10:14, ссылка)
- Еще можно маску по времени сделать. Например, иметь таки ssh как аварийный канал, но включать его по расписанию на 20 секунд, скажем, чрез некоторое плавающее количество минут как функцию от текущего времени. Evgeny_CD(329 знак., 05.04.2019 23:57)
- Довел идею до совершенства -> - Evgeny_CD(06.04.2019 00:50, ссылка)
- Шибко сурово :) Просто сменил порт и тишина... Гудвин(06.04.2019 00:15)
- Вот! Добавляем к моему алгоритму третье измерения (1 - фрейм внутри эпохи, 2 - номер порта, 3 - эпоха) - и шифрование нервно курит. - Evgeny_CD(06.04.2019 00:20)
- Большая коробочка - она твоя? В смысле твоей разраьботки ПО? - Evgeny_CD(06.04.2019 00:19)
- Вах, не то запостил. Коробочка да - моя. И ПО, и железо, и десигн. Проц от NXP, пластик от китайцев :) Эта картинка случайно попала ветки ARM... Вот правильная: Гудвин(06.04.2019 01:09 - 01:17)
- Возвышенности - брутфорс? - Evgeny_CD(06.04.2019 01:23)
- Ага. - Гудвин(06.04.2019 02:44)
- Возвышенности - брутфорс? - Evgeny_CD(06.04.2019 01:23)
- Вах, не то запостил. Коробочка да - моя. И ПО, и железо, и десигн. Проц от NXP, пластик от китайцев :) Эта картинка случайно попала ветки ARM... Вот правильная: Гудвин(06.04.2019 01:09 - 01:17)
- Спасибо, интересная подборка технологий. - Evgeny_CD(05.04.2019 22:57)
- Хочется именно белый IP - надоели извраты. Про UDP с хэшами уже тут писал. Больше никаких открытых портов не надо. Тогда и машинешку можно самую жиденькую за 200 руб/мес. на том же Vscale. И трафик у них безлимитный вроде как. Кстати, консоль у Гудвин(565 знак., 05.04.2019 23:35 - 23:47)
- Имею в vscale и в яндекс-облаке... sav6622(318 знак., 05.04.2019 15:55)
- Для лялиха народ вроде написал скрипты, типа ip 2 ban или что-то в таком духе, которые анализируют логи и банят IP любителей брутфорсить на несколько часов (программируется) - Evgeny_CD(05.04.2019 13:33)
- fail2ban называется, но не спасает уже, поумнели брутфорсовцы, 2-3 раза с одного ip пытаются, потом меняют ip - sav6622(05.04.2019 15:56)
- А сколько у них IPшников может быть? 1к? Это, конечно, замедлит маршрутизацию, но все равно машина жить будет. - Evgeny_CD(05.04.2019 18:20)
- fk0, ты наверняка в теме, просвети нас, пожалуйста. - Evgeny_CD(05.04.2019 13:50)
- 1) google "ssh tarpit", 2) использовать нестандартный порт (самое простое), 3) через iptables лимитировать число соединений в минуту по ssh для ip-адреса (самый разумный вариант), 4) использовать "port knocking". - fk0(10.05.2019 09:50)
- Забавно, как ты назвал гугля именем fk0 :-) - SciFi(05.04.2019 13:53)
- fail2ban называется, но не спасает уже, поумнели брутфорсовцы, 2-3 раза с одного ip пытаются, потом меняют ip - sav6622(05.04.2019 15:56)
- Зачем же открывать ssh на стандартном порту? Это немного тупо. - SciFi(05.04.2019 13:27)
- Ну тады лучше его открывать на нестандартном порту в ip6 =))) ну чтобы совсем никто не нашел даже тупо сканируя по адресам... - sav6622(05.04.2019 16:31)
- Какие то меры конечно приму, если дело конечно дойдет до "боевого" варианта. Имею задумку изобразить некий UDP прокси для своих "полевых" девайсов. UDP позволит сократить сотовый трафик и время, затрачиваемое на сеанс связи. А дальше уже логи и Гудвин(205 знак., 05.04.2019 14:03)
- Дык оно мне надо было раньше? :) Да и нестандартный порт такой любитель брута может легко отсканить. Если учесть, что он знает пул IP адресов, а его "отмычки", предположим, находятся на том же Vscale. Вот мой страдалец-труженик на данный момент: Гудвин(320 знак., 05.04.2019 13:40)
- Нестандартный порт говорит о том, что хозяин уже подумал о защите. Вероятно, там и пароль не из словаря. Любителям брута может быть проще пойти дальше. - s_h_e(05.04.2019 14:07)
- Нормальные люди НЕ ПОЛЬЗУЮТСЯ паролями. Потому, что если ключ лишь участвует в процедуре аутентификации можно сказать алгоритмически, и циферки в канале передачи данных всё время разные, то пароль передаётся как есть, открытым текстом, каждый раз fk0(652 знак., 10.05.2019 10:10)
- Ну да, конкретно ради тебя кто-то станет так заморачиваться, чтобы твой ценнейший сервер к себе в ботнет утащить) s_h_e(67 знак., 10.05.2019 10:32 - 10:34)
- Нормальные люди НЕ ПОЛЬЗУЮТСЯ паролями. Потому, что если ключ лишь участвует в процедуре аутентификации можно сказать алгоритмически, и циферки в канале передачи данных всё время разные, то пароль передаётся как есть, открытым текстом, каждый раз fk0(652 знак., 10.05.2019 10:10)
- Нестандартный порт говорит о том, что хозяин уже подумал о защите. Вероятно, там и пароль не из словаря. Любителям брута может быть проще пойти дальше. - s_h_e(05.04.2019 14:07)
- Тема с VPS/VDS интересная. Тоже планирую завести для некоторых экспериментов. Переживаю как быстро смогут хакнуть мой сервер :). Не помешала бы информация и рекомендации от опытных и продвинутых коллег с сахары. - Ruslan(08.04.2019 10:18)