klink0v (klink0v) wrote,
klink0v
klink0v

OpenWRT, Dropbear, Script Kiddies

Вообще я очень сильно не люблю закрывать SSH на подконтрольных мне устройствах. В противном случае, если "что-то пойдёт не так", теряешь последнюю из возможных калиток для управления. Вместо этого я настраиваю авторизацию по RSA-ключам, отключаю вход по паролям, явно запрещаю логиниться под root-ом и прикручиваю fail2ban. До сих пор набор этих мер позволял достигать разумного соотношения "удобство / безопасность".

В OpenWRT я столкнулся с форменной засадой. По понятным причинам OpenSSHd там заменён на DropBear. Который, по крайней мере в стабильной ветке Chaos Calmer ещё не умеет делать обмен ключами по менее ресурсоемкому алгоритму ECDSA. И Fail2Ban-а там тоже нет.

В один прекрасный момент я столкнулся с тем, что на какой-то из моих OpenWRT-роутеров снаружи прибежали скрипкиддисы и давай перебирать логины в несколько потоков. Понятно, что они все были благополучно отшиты. Только вот процессор в каком-нибудь чипе а-ля Atheros AR9341, мягко говоря, не очень мощный. И попытка установления четырёх одновременных SSH-сессий загружает его "под завязку". Так, что роутеру ни на что другое вычислительных ресурсов уже тупо не хватает.

Беда-пичалька. Пришлось возвращаться к практике блокирования SSH-портов FireWall-ом с прогрызанием единичных исключений в виде доступа из дома и офиса. Чувствую, пора бы уже мне освоить knockd. Тем более, что по мере распространения IPv6 старый добрый Fail2Ban становится чуть менее чем полностью бесполезен.

Tags: it, linux, openwrt, администрирование
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments