Forum » Omrežja in internet » sshd - zakleni ip, po x neuspelih login-ih
sshd - zakleni ip, po x neuspelih login-ih
krho ::
Počasi mi gre na jetra, ko dobivam v predal:
Današnji log je bil velik 500kb, ali se da sshd skonfigurirati tako, da po 3h neuspelih poizkusih za X min zavrača povezave iz istega ip naslova.
Nov 5 04:05:01 krota sshd[51974]: Invalid user benebod from 157.193.98.18
Nov 5 04:05:02 krota sshd[51976]: Invalid user bogo from 157.193.98.18
Nov 5 04:05:02 krota sshd[51978]: Invalid user bogomir from 157.193.98.18
Nov 5 04:05:03 krota sshd[51980]: Invalid user bojan from 157.193.98.18
Nov 5 04:05:04 krota sshd[51982]: Invalid user bor from 157.193.98.18
Nov 5 04:05:05 krota sshd[51984]: Invalid user boran from 157.193.98.18
Nov 5 04:05:05 krota sshd[51986]: Invalid user borin from 157.193.98.18
Nov 5 04:05:06 krota sshd[51988]: Invalid user borizit from 157.193.98.18
Današnji log je bil velik 500kb, ali se da sshd skonfigurirati tako, da po 3h neuspelih poizkusih za X min zavrača povezave iz istega ip naslova.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
DSI ::
Jaz bi namesto tega raje priporočal: Ali da z firewallom omejiš dostop do SSHja na IP(je) (če imaš statičnega)
Ali pa da v sshd_config spremeniš port na katerem teče SSHD (paremeter Port)
Ali pa da v sshd_config spremeniš port na katerem teče SSHD (paremeter Port)
blue ::
Najlažje je da premakneš ssh na en drug port. Od kdaj sm to naredil nimam niti enga poskusa logina.
Drugače pa http://denyhosts.sourceforge.net/
Drugače pa http://denyhosts.sourceforge.net/
kekz ::
Imaš več možnosti.
Lahko naštimaš iptables, da dinamično beleži IP-je in po nekaj poskusih zapre za navedeni IP.
Imaš možnost da z iptables narediš, da moraš najprej potrkati na vrata in se ti šele potem odprejo (drugače so zaprta)
Če imaš PAM, je možno tudi točno to, kar si navedel. Po nekaj poizkusih ne prime za nekaj časa s tistega IP-ja niti pravilna prijava. Ampak poizkuševalec tega ne ve in bo lahko še vedno probaval in log bo še vedno. Samo prijaviti se mu ne bo uspelo nikakor.
Lahko naštimaš iptables, da dinamično beleži IP-je in po nekaj poskusih zapre za navedeni IP.
Imaš možnost da z iptables narediš, da moraš najprej potrkati na vrata in se ti šele potem odprejo (drugače so zaprta)
Če imaš PAM, je možno tudi točno to, kar si navedel. Po nekaj poizkusih ne prime za nekaj časa s tistega IP-ja niti pravilna prijava. Ampak poizkuševalec tega ne ve in bo lahko še vedno probaval in log bo še vedno. Samo prijaviti se mu ne bo uspelo nikakor.
Bakunin ::
iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
Poldi112 ::
Problem te tvoje rešitve je da če te en zasipava z requesti ti ne moreš notri, ker ni omejena na ip.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
kekz ::
Ja, zato je treba uporabiti modul recent. Ta dinamično beleži IP-je
iptables ... -m recent ...
iptables ... -m recent ...
Poldi112 ::
Saj ne ves iz katerega bos dostopal do svojega serverja. Vsaj jaz ne.
Ampak ok, jaz se ne sekiram za te poskuse.
Ampak ok, jaz se ne sekiram za te poskuse.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
krho ::
omejitev na ip ne pride v poštev, ker s tem zaklenem ven tudi sebe. (Iz drugih lokacij ne od doma)
Prestavitev na drugi port ne pride v poštev. V moji bivši službi, so bili vsi porti (razen 80 in 443) na ven zaprti
FreeBSD ima port DenyHosts :), bom naslednjič prevedel zadevo. Ne bi remote tole izvajal, da se ne zaklenem ven. :)
Prestavitev na drugi port ne pride v poštev. V moji bivši službi, so bili vsi porti (razen 80 in 443) na ven zaprti
FreeBSD ima port DenyHosts :), bom naslednjič prevedel zadevo. Ne bi remote tole izvajal, da se ne zaklenem ven. :)
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Zgodovina sprememb…
- spremenil: krho ()
kekz ::
Kot sem že napisal, je zadnji krik mode za te reči port knocking.
Več o tem tukaj: Port knocking @ Wikipedia
Več o tem tukaj: Port knocking @ Wikipedia
krho ::
@iNN: beri drugi odstavek v mojem prejšnjem odgovoru.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | "Port scan" stanje na IPv4 omrežju (strani: 1 2 )Oddelek: Omrežja in internet | 8511 (7431) | AštiriL |
| » | iptables problemOddelek: Operacijski sistemi | 2137 (1903) | poweroff |
| » | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2138 (1960) | SasoS |
| » | iptables "whitelist" težavicaOddelek: Omrežja in internet | 1735 (1481) | McMallar |
| » | Slackware Linux (strani: 1 2 )Oddelek: Operacijski sistemi | 4309 (3226) | tx-z |