Drazí uživatelé Turrisu,
právě jsme vydali Turris OS 3.9.4 který obsahuje mnoho bezpečnostních oprav, ale krom jiného i mnohem lepší integraci HaaSu. Kompletní release notes jsou následují:
Diskuze o aktuálním vydání ideálně směřujte do anglického vlákna.
HaaS konečně funguje. Jen se divím, že odpovědi chodí z haas-app.nic.cz, resp. že to SSH odesílá, tím pádem každý útočník může vědět, že jde o honeypot.
Díky, zatím se zdá být všechno v pořádku i HaaS funguje. Šlo by prosím do webového rozhrání přidat možnost řadit sloupce? Především mě zajímá sloupec příkazy, který je snad ve všech cca 1300 sezeních 0 a chtěl bych zjistit, jestli se nějaké příkazy někdo pokoušel použít.
Díky
Na ssh se nyní připojím, ale na https://haas.nic.cz/ vidím jen zařízení a stále je tam 0. Jak dlouho trvá, než se tam něco objeví?
Zdravím,
co vím, tak se chystá filtrování na ty, co se dostaly dovnitř a uvidí se, zda bude potřeba řešit i něco dalšího.
@maja0027:
Na stránkách HaaSu v přehledu sezení pro vybraný device je uvedeno:
Přehled zachycených sezení se aktualizuje jednou za hodinu.
Mám obavy že se tam nic neobjevuje, ani moje dnešní pokusy se neobjeví. Takže to zatím asi nechodí.
Zkontroluj si login. Me to tam nejakou zahadou hodilo spatnou email adresu. Po novem zalogovani se spravnou uz to chodi. Taky se zmenil token. Ve sloupci Prikazy mam taky 0 u vsech xxx sezeni.
Filtrování je určitě potřeba. Proklikávat se hromadou prázdných sezení je nuda.
A ještě - nešlo by do seznamu přidat další dva sloupce s uživatelem a heslem? Aby byly viditelné hned? Místa je tam myslím dost.
Ano, to jsem se dočetl, ale už jsem to zkoušel někdy odpoledne, takže uběhlo několik hodin a stále je tam nula. Proto se ptám, zda je to normální.
Tak teď jsem to vyzkoušel a spojení se nepodařilo navázat:
marian@mapserv:~$ ssh test@mkyral.duckdns.org
test@mkyral.duckdns.org's password:
Permission denied, please try again.
Permission denied, please try again.
test@haas-app.nic.cz: Permission denied (password,publickey,keyboard-interactive).
Connection to mkyral.duckdns.org closed.
uvidíme za hodinu. Poslední záznam mám z 11:25.
Jak tak koukám do záznamů, zdá se, žo opravdu bere jen root uživatele.
Tak tohle už jsem tady na foru psal několikrát, takhle to funguje od začátku, co se přešlo na novou verzi honeypotu. Myslím si to samé, tohle by nemělo být vidět.
Honeypot nebere všechny loginy, ale například root jde, že je tam failed neznamená, že to nefunguje.
Spojení jsou a zapisují se. Na problém, proč se to nezapsalo u @mkyral se podíváme a dám vědět.
Co si mohu představit pod pojmem log plný failurues?
Zase řešíme tuto chybu?
Jan 26 15:57:31 turris twisted: [SSHService ssh-connection on SSHServerTransport,5,195.3.147.49] Failure: twisted.conch.error.ConchError: (3, ‘unknown channel’)
Na tohle bylo před 2 týdny vytvořeno na Gitlabu issue, kde je odpověď vývojáře z HaaSu, že si není jístý, zda je dobrý nápad povolit direct-tcpip channel request na honeypotu.
Mě se spojení pravděpodobně nezapisují, ráno jsem pro jistotu změnil token a restartoval
/etc/init.d/haas-proxy restart
Bohužel poslední záznam na haas.nic.cz mám z 25.1.
v logu se objevuje změna klíče
root@turris:~# cat /var/log/messages | grep NEW
2018-01-31T10:40:42+01:00 info twisted: [SSHServerTransport,3999,221.194.47.233] NEW KEYS
2018-01-31T10:44:14+01:00 info twisted: [SSHServerTransport,0,90.178.154.89] NEW KEYS
2018-01-31T10:44:38+01:00 info twisted: [SSHServerTransport,1,5.188.87.51] NEW KEYS
2018-01-31T10:47:02+01:00 info twisted: [SSHServerTransport,2,122.226.181.167] NEW KEYS
2018-01-31T10:47:50+01:00 info twisted: [SSHServerTransport,3,90.178.154.89] NEW KEYS
2018-01-31T10:50:18+01:00 info twisted: [SSHServerTransport,4,5.188.10.182] NEW KEYS
2018-01-31T10:51:32+01:00 info twisted: [SSHServerTransport,5,195.3.147.49] NEW KEYS
2018-01-31T10:54:09+01:00 info twisted: [SSHServerTransport,6,5.188.10.179] NEW KEYS
2018-01-31T10:54:09+01:00 info twisted: [SSHServerTransport,7,5.188.10.179] NEW KEYS
2018-01-31T10:54:11+01:00 info twisted: [SSHServerTransport,8,5.188.10.179] NEW KEYS
2018-01-31T10:54:44+01:00 info twisted: [SSHServerTransport,9,195.3.147.49] NEW KEYS
2018-01-31T11:01:03+01:00 info twisted: [SSHServerTransport,10,5.188.87.51] NEW KEYS
2018-01-31T11:03:41+01:00 info twisted: [SSHServerTransport,11,195.3.147.49] NEW KEYS
2018-01-31T11:10:25+01:00 info twisted: [SSHServerTransport,12,122.226.181.165] NEW KEYS
2018-01-31T11:11:55+01:00 info twisted: [SSHServerTransport,13,122.226.181.166] NEW KEYS
2018-01-31T11:13:56+01:00 info twisted: [SSHServerTransport,14,5.188.203.61] NEW KEYS
2018-01-31T11:15:07+01:00 info twisted: [SSHServerTransport,15,121.18.238.39] NEW KEYS
2018-01-31T11:17:29+01:00 info twisted: [SSHServerTransport,16,195.3.147.49] NEW KEYS
2018-01-31T11:27:31+01:00 info twisted: [SSHServerTransport,17,195.3.147.49] NEW KEYS
2018-01-31T11:30:37+01:00 info twisted: [SSHServerTransport,19,88.174.4.30] NEW KEYS
2018-01-31T11:30:37+01:00 info twisted: [SSHServerTransport,18,88.174.4.30] NEW KEYS
2018-01-31T11:32:15+01:00 info twisted: [SSHServerTransport,20,185.222.209.151] NEW KEYS
2018-01-31T11:35:22+01:00 info twisted: [SSHServerTransport,21,195.3.147.49] NEW KEYS
2018-01-31T11:38:57+01:00 info twisted: [SSHServerTransport,22,203.24.188.242] NEW KEYS
2018-01-31T11:46:26+01:00 info twisted: [SSHServerTransport,23,195.3.147.49] NEW KEYS
2018-01-31T11:46:29+01:00 info twisted: [SSHServerTransport,24,221.194.47.239] NEW KEYS
Použil jsem přihlášení root heslo turris_team, adresa 90.178.154.89 je moje z práce.
Prosím nějak si to vymýšlí, ve webovém rozhraní (foris v 96.10 to píše) v sekci “Updater”, když jsem si zadal instalaci s prodlevou, tak mi tam vylezlo hlášení:
Schválení updatu z 2017-12-21 12:42:52
List of changes
_ • Nainstaluj updater-ng 60.0.5-2_
Mám být klidný a nebo je potřeba něco ručně doladit??
Předem děkuji za pomoc.
Jak vymýšlí? Schvalování funguje tak, že buďto se to automaticky schválí po prodlevě a nebo to můžete schválit ručně za účelem okamžitého updatu.
No updater-ng je dávno nainstalovaný ve verzi 60.0.7-1 a od 21.12.2017 proběhlo updatů jak máku. Je pravda, že volba odložení/schválení se mi ukázala jen v jedné verzi a opět až nyní.
Proto ten dotaz jestli není potřeba něco ručně nastavit, protože aby se mi automaticky nainstaloval starý updater-ng by asi nebylo to pravé, že?
Omlouvám se, nevyrozuměl jsem, že odkazujete na starou verzi. Tato verze byla v Turris OS 3.9.1 a tedy předpokládám, že se jedná o schválení tohoto updatu Updater want to downgrade from 3.9.3 to 3.9.1. I kdyby jste ho schválil tak by updater předložil nová plán (nebo by alespoň měl). V druhé možnosti je, že máte skutečně updater nastavený tak, že Vás chce downgradovat do 3.9.1 nebo, že se prostě jen nesmazal záznam o chválení tohoto požadavku. Možností je spoustu. Buďto mi zašlete diagnotiky nebo se sám ručně spusťte updater na konzoli aby jste viděl co se děje.
Já žádný downgrade nezadával a ani nechtěl, spíše tam zůstalo něco starého.
Tak snad ta diagnostika půjde načíst
REDACTED: Prosím nevkládejte diagnostiky veřejně. Obsahují citlivé informace!
EDIT:
Tak opět něco nového, (soudím, že to má něco společného s tím, že jsem v LUCI aktualizoval seznam balíčků) nyní to hlášení zmizelo. No není to krása, problémy se samy řeší… 
