Marek Kierdelewicz <m...@p...pl> writes:

> Brak acl/firewallingu portu 22 kończy się atakiem słownikowym /
> bruteforce z azjatyckich serwerów lub rozsianych po inecie botnetów.

W jakim sensie "konczy"?

> Nawet jeżeli ktoś lubi pamiętać hasła o imponującej trudności i
> zawiłości to i tak zyska megabajty logów do przejrzenia (nieudane
> logowania). Świetna lektura do poduszki dla każdego administratora
> sieci. Niech koledzy z otwartym portem 22 na linuxach się pochwalą ile
> im przyrasta dziennie plik /var/log/messages.

Aha. Ale wiesz... tak w ogole, mozna to logowanie wylaczyc, jesli ktos
nie potrzebuje. A tak normalnie, mozna po prostu przegladac automatem.
Sa gotowe automaty dokladnie do tego celu. Od wielu lat zreszta.
Pokazuja bardzo ladne statystyki nieudanych i udanych logowan.

Martwisz sie botami? Zdecydowanie wiekszym zmartwieniem moze byc atak
zdeterminowanego wlamywacza.

> Brak aclowania/firewallingu własnej infrastruktury to
> nieodpowiedzialność.

To zdanie nie oznacza dokladnie nic.

ACLki itd. maja za zadanie uniemozliwic niepozadany ruch. Problem w tym,
ze ruch ssh moze byc pozadany.

> Jasne, rozumiem, że większość z nas ma lapka, modem 3g i telefon, który
> czasem zadzwoni. Zawsze jednak istnieją vpny i inne alternatywne
> rozwiązania na bezpieczny dostęp zdalny.

Ssh to wlasnie jest bezpieczny dostep zdalny. VPNy itd. sa mniej-wiecej
takim samym zagrozeniem, przeciez tak samo nie uzywaja kanalu poza
kontrola potencjalnego wlamywacza.
--
Krzysztof Halasa