Ju (@ju@nugole.it)

0 ★ 0 ↺

Ju » 2025-05-08
@ju@nugole.it

sì, quello è facile (c'è la documentazione e no, non è come quella di aruba per fortuna)
credo si possa addirittura impostare che permetta l'accesso dalla porta ssh senza specificare il numero...

...

Uilebheist » 2025-05-08
@Uilebheist@polyglot.city

@ju Probabilmente però non legge sshd_config ma /etc/services - che dice "ssh 22/tcp" e se lo cambi potrebbe tornare ad essere 22 dopo un'aggiornamento.

È più sicuro mettere il numero nel firewall.

...

0 ★ 0 ↺

Ju » 2025-05-08
@ju@nugole.it

Va ben...
Nel frattempo non mi sono chiusa fuori dal server. Buona cosa.
Devo generare le chiavi e usarle.
Per qualche motivo se cambio porta mi esce "connection refused" anche se prego in aramaico.
Al momento ho rimesso tutto com'era e l'unica cosa che fa è bloccare l'utente root.

Ceno.

Poi torno.

...

Uilebheist » 2025-05-08
@Uilebheist@polyglot.city

@ju Ora mi sento in colpa...

...

0 ★ 0 ↺

Ju » 2025-05-08
@ju@nugole.it

perchè?
Anzi! Grazie!
Altrimenti non saprei come proteggermi da tutti sti antipatici che mi attaccano!

...

Uilebheist » 2025-05-08
@Uilebheist@polyglot.city

@ju Perché non ho pensato a una procedura che rendesse impossibile chiudersi fuori.

...

Uilebheist » 2025-05-08
@Uilebheist@polyglot.city

@ju Quando cambi il port su sshd... cambi anche quello che usa il cliente?
Altrimenti sì ti viene "connection refused"...

ssh -p NUMERO (eccetera)

...

0 ★ 0 ↺

Ju » 2025-05-08
@ju@nugole.it

sì sì, ma dava lostesso connection refused
E' possibile che ci voglia un po' di tempo?

...

Uilebheist » 2025-05-08
@Uilebheist@polyglot.city

@ju No.
A meno che systemd nella sua infinita [CW] non abbia evitato di far ripartire sshd...

Comunque "netstat -tnl" dovrebbe dire qualcosa tipo:

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN

oppure qualcosa di diverso invece del ":22" nella terza colonna.

...

1 ★ 0 ↺

Ju » 2025-05-08
@ju@nugole.it

systemd diceva di averlo riavviato...boh...
chiedevo perchè per un po' anche quando ho messo di nuovo porta 22 dava connection refused, poi è andato a posto.

Comunque: ho cenato, ho procacciato una birretta, mi metto al lavoro e creo le chiavi.

...

0 ★ 0 ↺

Ju » 2025-05-08
@ju@nugole.it

@Uilebheist@polyglot.city

Fatto :D

E non mi sono chiusə fuori dal server!
Ora ho un utente solo, con la sua chiave, che può accedere al server.
Root non può accedere e comunque è ristretto.
Dici che devo comunque provare a cambiare la porta?

...

Uilebheist » 2025-05-08
@Uilebheist@polyglot.city

@ju Non è necessario.
Ma comunque un'occhiata ai log non fa male.
Se un IP continuasse a tornare... c'è sempre la possibilità di bloccarlo

[oppure guardare fail2ban]

...

0 ★ 0 ↺

Ju » 2025-05-08
@ju@nugole.it

va ben, mi pare che gli IP cambino molto...sono interessanti anche i nomi degli utenti che provano, sembrano presi da un catalogo di prostitute russe.

...

Uilebheist » 2025-05-08
@Uilebheist@polyglot.city

@ju Strano che non siano prostitute olandesi.

https://it.wikipedia.org/wiki/Aruba

...

1 ★ 0 ↺

Ju » 2025-05-08
@ju@nugole.it

giustamente...

no vabbeh, c'era una Natasha...

sono anche astuti! da quando ho cambiato la porta prima, non provano più sulla 22. Speriamo che continuino a provare sulle porte alte così sto a posto.

0 ★ 0 ↺

Ju » 2025-05-09 / 2025-05-09
@ju@nugole.it

ah...guarda, sembra che impostando l'obbligo di avere una chiave usi già una porta diversa dalla 22 per connettersi, ho trovato questo nel log:

"Accepted publickey for (il mio utente) from (il mio ip) port (porta alta) ssh2:"

...

Uilebheist » 2025-05-09
@Uilebheist@polyglot.city

@ju No, questa è la porta del cliente. Che sarà sempre una porta alta. Appena connesso, "netstat -tn" sul server mostrerà sia il 22 ("local address") che la porta alta ("remote address"). Oppure "echo $SSH_CONNECTION" che mostra 4 campi: IP cliente, porta cliente, IP server, porta server(22)

...

0 ★ 0 ↺

Ju » 2025-05-09
@ju@nugole.it

sto guardando con netstat...

ok...uhm...ci sono un tot di connessioni...

cp 0 0 ip_server:443 20.101.35.60:44996 ESTABLISHED
tcp 0 0 ip_server:22 24.237.119.118:49222 SYN_RECV
tcp 0 0 ip_server:22 61.160.119.116:14565 SYN_RECV
tcp 0 0 ip_server:22 106.246.89.70:40273 SYN_RECV
tcp 0 316 ip_server:22 mio_ip:63624 ESTABLISHED
tcp 0 0 ip_server:443 mio_ip:63807 ESTABLISHED
tcp 0 0 ip_server:443 mio_ip:63806 ESTABLISHED
tcp 0 0 ip_server:22 218.22.11.106:48718 SYN_RECV

non credo di dovermi preoccupare di quelle sulla porta 443 che dovrebbero riguardare snac?
devo preoccuparmi di SYN_RECV?

...

Uilebheist » 2025-05-09
@Uilebheist@polyglot.city

@ju SYN_RECV vuol dire che hanno cercato di aprire una connessione su port 22 ma senza poi far nulla.
Probabilmente scan con nmap o equivalente per vedere che port sono aperti.

Questi di solito non vanno nel log perché non arrivano fino ad avere una connessione aperta ("ESTABLISHED") quindi sshd non lo sa e non può riportare un tentativo di usare una password.

...

0 ★ 0 ↺

Ju » 2025-05-09
@ju@nugole.it

...controllavo perchè pare che da quando ho attivato l'accesso solo con le chiavi ieri sera, abbiano smesso di provare a entrare.
Il che vuol dire che o per il momento si son stufati oppure sono entrati.
Spero la prima.

...

Uilebheist » 2025-05-09
@Uilebheist@polyglot.city

@ju Penso per il momento si erano stufati a causa del "connection refused" temporaneo...

...

2 ★ 0 ↺

Ju » 2025-05-09
@ju@nugole.it

Va ben, speriamo restino stufati.
Anche perchè non è che ci sia molto da trovare in un cazzabubbolo di server come il mio.
Che vadano a rompere le balle a Musk!

Uilebheist » 2025-05-09
@Uilebheist@polyglot.city

@ju Ah e per il port 443 - quell'IP che inizia per 20 è sociale.network, penso che sia una connessione benigna di qualcunə che ti segue...

...

1 ★ 0 ↺

Ju » 2025-05-09
@ju@nugole.it

sì, ecco...mi aspetto, visto snac che gira e fa un sacco di cose, che si stabliscano delle connessioni su quella porta su cui non ho molto modo di controllare...

Uilebheist » 2025-05-09
@Uilebheist@polyglot.city

@ju Se dovessero raggiungere il livello di "grande rottura" ci sono altre cose che si possono fare, anche senza cambiare port 22 con qualche altro numero.

Per esempio "port knocking" (dove il firewall accetta solo connessioni da IP che hanno esibito un'attività ben distinguibile per esempio SYN_SENT to altri port in una sequenza predeterminata e che tu conosci e il tuo cliente ssh può essere configurato per inviare, ma altri non dovrebbero conoscere).

...

1 ★ 0 ↺

Ju » 2025-05-09
@ju@nugole.it

eventualmente... ( = mi interessa molto, ma davvero non dovrei aggiungere altre cose alla lista delle cose che ho in mente di fare. Però mi interessa molto. Quindi magari ti chiedo di insegnarmelo comunque).

nel frattempo sto guardando ufw ...che però più che un firewall semplice mi sembra anche un firewall troppo semplice. Quasi quasi lo cambio con iptables.
Ci penso.

0 ★ 0 ↺

Ju » 2025-05-09
@ju@nugole.it

(ovviamente m'ero appena connessə io. Era l'ip giusto, ero io!)

1 ★ 0 ↺

Ju » 2025-05-08
@ju@nugole.it

@Uilebheist@polyglot.city beh insomma, te mi aiuti ma la responsabilità se faccio cazzate è mia! Non preoccuparti!