Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Password is too simple

Защищаемся по SSH

Прежде чем разворачивать на сервере буйную деятельность обезопасим себя от взлома. Всякие создание и размещение сайтов, баз данных все это подождет. Первым делом после входа на новый сервер защищаем его больное место: порт SSH, который изначально открыт на всех серверах Linux и является одной из главных целей серверовзломщиков, потому что они знают кто владеет SSH тот владеет миром.

Изменяем пароль доступа по SSH.

Заходим на сервер с правами root при помощи программы Putty и меняем пароль суперпуперпользователя root присланный нам от хостинг компании (какой-нибудь типа 7Sw&IjKf^1y?Q) на более внятный нам. Несколько рекомендаций:

  • пароль не должен содержать всяких японских иероглифов и русских букв, разрешена только латиница,
  • пароль не должен быть английским словом, названием, именем или какой-либо известной фразой,
  • пароль не должен быть словом вашего родного языка написанным транскрипцией латиницей или же написанным английской раскладкой клавиатуры, к примеру слово мир (транскрипция mir, с английской клавиатурой vbh)
  • пароль не должен ассоциироваться с вашей личной жизнью.
  • пароль следует делать больше чем 6 символов,
  • пароль рекомендуется составлять из латинских букв в нижнем и верхнем регистре, а также должны присутствовать цифры и знаки препинания.

Команда passwd написанная в консоли Linux дает вам возможность смены пароля пользователя.

В ответ на команду passwd вы увидите сообщения системы с предложением ввода вашего нового пароля (в нашем случае для пароля root).

Ввод пароля происходит в слепом режиме, то есть набираемые вами символы не отображаются. Когда вы введете ваш новый пароль и нажмете клавишу Enter система предложит вам повторить операцию ввода нового пароля, чтобы убедиться, что вы действительно помните создаваемый пароль.

Если в качестве нового пароля вы зададите слишком легкий или слишком короткий по мнению системы пароль, то перед сообщением о повторном вводе нового пароля отобразятся сообщения сопровождающиеся фразой BAD PASSWORD.

На самом деле это ничего страшного система вас просто предупреждает о слабости пароля, но вы всегда можете отказаться от продолжения операции в консоли Linux нажав CTRL+C.

Когда все сделано верно по завершении система уведомит сообщением:

Важно, если вы забудете пароль root то только переустановка системы поможет вам его вернуть!

В случае же если при изменении пароля введенные вами дважды данные не будут совпадать друг с другом операция завершиться не удачей и на экране появится сообщение:

Если кроме всего прочего вам нужно поменять пароль какого-либо конкретного пользователя на сервере, то после ввода команды passwd нужно ввести имя этого пользователя. При этом у вас должно быть достаточно прав на смену пароля указываемого пользователя, конечно если мы работаем на сервере как root, то проблем с этим не возникнет.

Вам опять понадобиться ввести новый пароль, подтвердить его нажав Enter, затем повторить ввод нового пароля и снова Enter.

Некоторые советуют глупости предлагая держать все пароли в уме, когда паролей и PIN-кодов становиться много в них можно запутаться, а создавать один универсальный пароль это самая большая глупость. Можно иметь один пароль к разным сайтам потерю доступа к которым для вас не критично, но пароль SSH к серверу должен быть уникален. Я рекомендую пароли обязательно записывать, куда решать вам, но крайне не желательно на компьютер имеющий доступ в Интернет.

Зачем нужен такой дурацкосложный пароль объясню. Во-первых, в сети уже выложены и постоянно обновляются куча хэшей или иными словами разгаданных паролей. Хэш — это специальным образом математически вычисленное значение чего-либо. Конечно пароли в системе Linux не лежат только в хэш виде и тем более в открытую, хеш пароль пользователя в операционной системе Linux зашифрован и хранится в файле /etc/shadow. Теоретически есть вероятность, что у вас украдут файл /etc/shadow и расшифруют до уровня хеш значения, а хэш уже ломать не придется, если он окажется уже разгаданным. Во-вторых современные сервера, а еще ужаснее целые сети зараженных компьютеров, так называемые ботнеты, способны подбирать пароли, которые еще вчера казались не поддающимися взлому. В-третьих методы взлома с использованием социальной инженерии популярны даже больше чем все остальные, потому что доступны не только хакерам, но и «полу-хакерам», скрывающимися к примеру за фотками симпатичных блондинок на сайтах знакомств или в Фейсбуке, с которыми вы возможно и не желая, но в порыве флирта можете похвастаться своим сервером.

Читать еще:  Word главная панель

В современном мире чаще ломают пачками, к примеру для этого создается програмка-парсер, она запускается на сервере взломщика или зараженном компьютере и поочередно ищет жертвы в сети, когда ему жертва присматривается она начинают свою работу хищника по взлому. Так вот, для того чтобы вас такие хищники даже не заметили достаточно закрыть 22 порт SSH. Нет порта SSH и нет проблем! С такой могучей идеей можно отказаться и от компьютеров в борьбе с вирусами, но все гораздо проще: мы закрываем 22 порт, про который все и вся знают, что это порт подключения SSH, а вместо него задаем другой порт.

Я рекомендую задавать порт SSH пятизначный до значения 65000. Почему такие далекие порты, это чтобы вы случайно не заняли нужные другим службам порты, к примеру 80 или 443 — это порты сервера для работы веб-сайтов крутящихся на нем. Конфигурационный файл службы отвечающей за работу протокола SSH находится по пути /etc/ssh/sshd_config. Открываем файл

В открывшимся файле увидим строку #Port 22 — знак # комментария говорит о том, что строка в настоящее время не задействована. Чтобы начать редактировать в редакторе нужно нажать на клавиатуре большую букву I, то есть сочетание клавиш shift+i, как первая буква английского слова Insertвставить. Убираем знак # комментария, чтобы задействовать нашу строчку и изменяем цифру порта SSH на другой, к примеру 33442. После чего сохраняем результат. Клавиша ESC — выход из режима редактирования, :wq — закрытие файла и внесение изменений, с английского writeзаписать и quitвыйти. Если строку Port 22 в открывшемся файле sshd_config вы не найдете просто добавьте её в этот файл

Делаем рестарт службы SSH, в Linux это служба sshd

И теперь наравне с новым паролем вам лучше не забывать ваш новый порт, потому что стандартный 22 порт SSH с этого момента на сервере закрыт, а подключаться через Putty вы будете только через порт указанный вами в настройках, в моем примере это 33442 порт, который нужно будет указывать в поле Port программы Putty вместо цифры 22. Мы то с вами порт SSH сервера знаем в отличие от взломщиков.

PS Настройки приведены на примере операционной системы Centos

‘12345’ Is Really Bad: Your Ultimate Guide to Password Security

Are you still using «qwerty» or «starwars» as a password, over and over? You shouldn’t be! Our guide tells you what makes a bad password, why you should care, and how to make a good one, too.

We’ve advised you again and again that the only safe way to store and use passwords is to rely on a password manager, but some of you aren’t listening. In a PCMag survey on passwords, only 24 percent of you reported using a password manager. What are the rest of you doing? Using easy passwords like password or 12345678? Memorizing one complex password and using it everywhere? Listen, taking care of password security is no small matter, but given the enormous scale of the risk—as illustrated in the recent Collection #1 breach, which exposed 773 million hacked email addresses—you need to do everything you can to keep your passwords safe.

Читать еще:  Настройка и надстройка word

Even if you’re using the best password manager, it doesn’t guarantee the safety of your accounts—not if you use the password manager to remember those same old, tired passwords. You have to get down in the trenches and switch out the bad passwords for new, stronger ones.

That survey mentioned above revealed that 35 percent of PCMag readers never change their passwords, unless forced to do so by a breach. In general, that’s not such a bad thing. The National Institute of Standards and Technology no longer recommends changing passwords every 90 days. NIST now recommends using long passphrases like «Correct-Horse-Battery-Staple» and changing them only when necessary. But if you’re using terrible passwords, «when necessary» means right now.

Just what makes a bad password? We’ll look at some of the attributes of terrible passwords, and then we’ll give you some pointers on how to do passwords the right way.

Stay Out of the Dictionary

Every few months one news outlet or another posts a list of the worst passwords. We see a lot of easy-to-type options, like 123456 and 12345678 and qwerty. Easy for you? Sure. But also easy for hackers to crack. Other common (and poor) passwords consist of simple dictionary words. We’ve seen baseball, monkey, and starwars in the list of worst passwords. These, too, are easy to crack.

Some secure websites lock down after a set number of wrong password attempts, but many don’t. For those with no bad-guess lockout, hackers can cross a list of email addresses with a list of popular passwords and set up an automated process to keep trying combinations until they get in.

A properly secured website doesn’t store your password anywhere. Instead, it runs the password through a hashing algorithm, a kind of one-way encryption. The same input always produces the same output, but there’s no way to get back to the original password from the resulting hash. If the password you type hashes to the same value that’s stored, you get access. Even if hackers capture the site’s user data, they don’t get passwords, just hashes.

But smart hackers can crack weak passwords even when they’re hashed, if they know what hashing function the site used. They start by running a huge dictionary of common passwords through the hashing function. Then they look for the resulting hashes in the captured data. Each match is a cracked password. Sites with the very best security enhance the hash function with a technique called salting, which makes this kind of table-based cracking impossible, but why take the risk? Just stay out of the dictionary.

Think Different

A friend once told me her perfect password: 1qaz2wsx3edc4rfv. She could «type» it by just sliding a finger down four slanted columns of the keyboard. It was so perfect, she used it everywhere. And that was a big mistake.

Hardly a week goes by without news of a breach at some company or website, exposing thousands or millions of usernames and passwords. Smart victims change their passwords immediately. Those who ignore the problem may find themselves locked out of their own accounts after the hackers reset the password.

Those hackers know that all too many people recycle their passwords. Once they find a working username and password pair, they try the same credentials on other sites. You may not be so worried about losing access to your Club Penguin account, but if you used the same login on your bank’s website, you’ve got big trouble.

Читать еще:  Восстановление файла word онлайн бесплатно

It gets worse. If someone else gets control of your email account, they can first lock you out by changing the password. Then they can break into your other accounts by having a password reset link emailed to that account. Worried yet?

Don’t Get Personal

Using personal information as the basis for your passwords is awfully tempting, but it’s a bad idea. Chances are good your dog’s name appears in the dictionaries hackers use for brute-force attacks. Other possibilities such as the initials and birthdate of a family member probably won’t fall to a brute-force attack, but if someone wants to hack your account specifically, that personal data can fuel a trial-and-error guessing attack.

Don’t think for a minute that your personal details are private. There are dozens of sites people can use to find details about anybody: address, birthdate, marital status, and more. Your social media posts can be another source of personal info, especially if you haven’t properly secured your accounts. A determined hacker (or a nosy neighbor) can probably guess any password that you build based on your own data.

Close the Back Door

If you’re not using a password manager, you’ve surely experienced forgetting the password for a site. It’s all too common, which is why virtually every login page includes a «Forgot your password?» link. Some sites send a reset link to your email address, while others let you reset the password after answering your security questions. And that opens a back door to anyone wanting to hack your account.

Most sites offer abysmal options for security questions. What is your mother’s maiden name? Where did you go to high school? What was your first job? As noted, your personal life is an open book to anyone with internet searching skills. When possible, ignore the preset questions. Create your own question, with a unique answer that you’ll always remember but that nobody else could guess.

It’s harder when the site doesn’t let you define your own questions. In that case, your best bet is to use a memorable answer that’s a total lie. My mother’s maiden name is Obama. I went to school at Communist Martyrs High. For my first job, I was a lion tamer. There is an element of risk, since you might forget which lie you chose. I would suggest storing these oddball answers as secure notes in your password manager…but if you were using a password manager it would have remembered the password for you.

What to Do Now That You Care

I hope I’ve convinced you that using common passwords is a rotten idea, as building passwords from personal information. And even the best strong, random password becomes a liability if you use it all over the place. If you’re ready to take action, here are some starting points:

If a secure site doesn’t take care of security, you could still lose that site’s credentials to a data breach, but by making all your passwords long, strong, and unique, you’ve done everything you can to protect your online accounts.

And hey! Now that you’re on a roll, security-wise, consider adding a virtual private network, or VPN. Using strong passwords for secure sites means others can’t break into your accounts; adding a VPN means there’s no chance anyone can intercept your connction to those secure sites.

Ссылка на основную публикацию
Adblock
detector