Как защитить ajenti от брутфорса?

Question

[Кирилл Казаков]

Как ajenti защитить от подбора паролей ?
Не до конца разобрался с конфигурационным файлом ... , может там есть настройка ?
Может в fail2ban добавить правило какое , но ajenti почему-то не пишет в auth.log информацию о неудачных попытках входа?
В webmin есть стандартная настройка блочить ip от брутфорса ...

Пока сменил порт всего лишь.
Ajenti - последняя версия. Доступ к ssh есть .

2) Еще вопрос для тех кто юзал этот продукт, как дать права на некоторые модули новому юзеру ajenti ?

Answer 1

[nirvimel]

Я с любыми веб-панелями (включая Ajenti) работаю так:

1. Сразу после установки закрываю доступ со всех адресов, кроме 127.0.0.1.
   
2. Проверяю вывод netstat -ta, чтобы убедиться, что соответствующий порт слушается не под звездочкой, а под 127.0.0.1. По-другому можно попробовать подключаться из браузера и убедиться, что все действительно закрыто.
   
3. В конфиг SSH на локальной машине прописываю DynamicForward 127.0.0.1:1666, чтобы получить на порту 1666 (локально) SOCKS5 туннель, пробрасываемый до сервера при подключении.
   
4. В FoxyProxy создаю правило: для подключений к ajenti.example.com использовать SOCKS5 на 127.0.0.1:1666.
   
5. Подключаюсь по SSH (авторизация по ключу, недефолтовый порт, ну и не root, конечно же) и захожу в браузере на https: //ajenti.example.com:4666/ как к себе домой!
   
6. В итоге: со стороны сервера наружу открыт только SSH на недефолтовом порту (необходимый минимум для удаленного администрирования, не более того), и никаких следов веб-панелей.
   

Пример (соответствующий фрагмент) конфига Ajenti:

"bind": {
        "host": "127.0.0.1", 
        "port": 4666
    },

P.S.: Все номера портов и доменные имена вымышленные, любые совпадения - чистая случайность.

Comments

[Кирилл Казаков]

Socks5 тоже использую, годное решение. Спасибо, что описали поэтапно )
Но хотелось бы без нагрузки пользователя лишними действиями.... Неужели нет более простого решения, как в webmin например, или хотя бы как найти лог неудачных входов ?

Answer 2

[Дмитрий]

Fail2ban подходящий инструмент для этой цели. Процесс не обязательно должен писать информацию в auth.log.
Достаточно будет настроить (или поискать готовый вариант) конфиг для парсинга лога в который программа пишет о неудачных попытках авторизации.
Примеры можно посмотреть в папке с конфигурационными файлами fail2ban ./filter.d Структура достаточно простая: указывается путь к логу и failregex.

Comments

[Кирилл Казаков]

Ваш ответ слишком общий и ни на дюйм не приближает к решению. Я не знаю куда пишет ajenti лог о неудачных входах

[Дмитрий]

Кирилл Казаков: "Не знаю" и "даже не хочу знать" - разные вещи. Во-первых можно спрятать Ajenti за обычным http_auth и даже не придется писать регэксп для fail2ban (для apache и nginx и так уже есть конфиги). Во-вторых на первой же странице гугла по запросу "ajenti auth log" находится вот эта ссылка https://github.com/ajenti/ajenti/issues/386 которая уже намекает на то, что этот функционал реализован
Ну и конечно же официальная документация docs.ajenti.org/en/latest/man/run.html).

[Дмитрий]

Ну и конечно же готовое решение всегда есть https://gist.github.com/MAFLO321/c4a2d4f1e3af2614c7d2
Мой вам совет - никогда и ни при каких условиях не вывешивайте админку во внешний мир.

[Кирилл Казаков]

Дмитрий: конечно хочу знать, потому и спросил. Не нашел к сожалению. Благодарю за ответ, вечером изучу.
Если не вешать, то как же тогда к ней обращаться , она теряет весь смысл. Сам через консольку, а хозяин впс не всегда хочет лезть в ssh.

[Дмитрий]

Кирилл Казаков: vpn + доступ к панели только с доверенных адресов.
Ну и вариант с ssh тунелем уже посоветовали.

[Кирилл Казаков]

Дмитрий: Почему так же не поступают shared хлстинги предоставляя доступ к ПУ?

[Дмитрий]

Кирилл Казаков: Не могу сказать, потому что никогда особо не пользовался ПУ. А на хостингах видел панель управления только за полноценной страницей авторизации, ни разу не видел, чтобы админка просто торчала наружу. (Возможно хостингу просто пофиг на то что ваш пароль могут подобрать?)
Тут все упирается в то, что нужно знать как именно работает авторизация на этой странице. Если это https и данные не передаются в открытом виде, то все ок и нужно следить только за брутфорсом. Опять таки брутфорс не проблема, если вы не используете "стандартные" логины. Если же мы говорим о простой авторизации по http, то стоит подумать о других вариантах доступа к ПУ.

[Кирилл Казаков]

Дмитрий: да, у ajenti как раз https , не стандартный порт и совсем не произносимый пароль. Буду изучать как включить логирование ошибок авторизации.
Спасибо за консультацию.

[Кирилл Казаков]

Дмитрий: Первый линк - commit ( https://github.com/ajenti/ajenti/issues/386 ) , типа исправлено . Что мне делать с этим коммитом ?
Второй линк офф. дока , по запросу auth - 2 линка и те API: aj.api.endpoint .

Готовое решение для fail2ban , которое ищет несуществующие неудачные попытки входа, о чем я писал выше (в вопросе) https://github.com/ajenti/ajenti/issues/386 .

К сожалению это не является решением, эти линки видел, к сожалению в них не нашел решения моего вопроса.

[Дмитрий]

Кирилл Казаков: 1 - был запрос на логгирование адресов, коммит свидетельствует о добавлении фичи, был сделан давно и с большой долей вероятности ваша версия панели уже умеет это делать. Проверить можете только вы.
2 - прямо на странице docs.ajenti.org/en/latest/man/run.html есть указание лог файла:
"Debugging
Ajenti logs into /var/log/ajenti/ajenti.log"
Если ничего не меняли при установке, то скорее всего там он и лежит.
3 - Линк https://gist.github.com/MAFLO321/c4a2d4f1e3af2614c7d2 содержит конфиг с регэкспом для ajenti. Конечно же нужно сравнить regexp с реальным лог-файлом, чтобы быть уверенным, что он правильно работает.