On 25-12-2016, at 12h 28'36", Ionel Mugurel Ciobîcă wrote about "[rlug]
fSrpauxy"
>
> Pot face ceva despre port scanurile astea:
> [...]
> sau nu ar trebui să fiu îngrijorat?
>
> Am mutat portul ssh de pe 22 undeva mai sus (de ceva vreme). Oare asta
> caută? Pot opri scanurile astea cumva (dacă ar trebui să fiu îngrijorat)?
>
Mulțumesc tuturor.
Am mutat portul sshd mai sus de 1024 (dar mai jos de 10000) de mai
bine de 18 luni. Nu am avut nici o problemă. Înainte aveam gigei care
tot încercau să intre în sistem cu useri de tip joe sau jan. Userii
mei au nume românesc :-) De cînd am schimbat portul ssh nu mai am
atîtea tentative. De fapt nici una :-)) Da, am și fail2ban activat.
Dar nu mai face nimic, că nu are cui. Încă nu a încercat nimeni să se
lege de portul meu ssh mutat.
root se poate loga cu parolă doar la localhost, restul e totul cu chei
ssh. Deci este destul de safe, zic eu.
Astea cu scanurile sînt mai dese de cînd mi‑am pus yate... Am trecut
și eu la technologia voip. Nu știu dacă ăștia cu port scan caută ssh
sau altceva, de aia am întrebat. Poate din lista de porturi care
încearcă ei vă sună ceva cunoscut.
Și dacă tot am pomenit de yate, știe cineva cum poate configura
fail2ban să oprescă pirați voip care folosesc 100+ adrese IP ca să‑mi
atace yate, dar tot timpul folosesc același callername și același
called (sau, mă rog terminația de la called este la fel). E adevărat
că unii încearcă de la același IP de 3 ori la numere cu 000xxxxxxxxx,
00xxxxxxxxx și 900xxxxxxxxx, dar nimeresc cîte unul care se ține scai
o săptămînă cu o sută de variante la numărul lui de Antarctica care‑l
sună de la mai multe IP-uri. yate e configurat cum trebuie, că nu lasă
pe nimeni neautentificat să treacă, dar mă stresează ăștia care keep
on trying... Înțeleg bine că fail2ban ar putea să‑i oprescă înainte
să interogheze yate... nu?
Dacă sînt specialiști de yate pe listă mai am întrebări. De exemplu de
ce nu merge funcția time? Dacă pun
^.*$=echo ${time}
în regexroute.conf, rezultatul este nimic, deși în log apare la fiecare
linie timpul în notația asta: 20161226204842.149389. Cînd pun eu
^.*$=echo ${time}: caller=${caller} callername=${callername} called=${called}
address=${address} ip_host=${ip_host} formats=${formats}
apar doar celelalte, nu și timpul... Am Yate 4.1.0 1.
Mersi,
Mugurel
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug
