SSH szabályozása

Fórumok

Sziasztok!

A kérdésem az lenne, hogy lehetne beállítani azt, hogy mondjuk 5 sikertelen bejelentkezés után kitiltásra kerüljön az az IP cím, melyről a bejelentkezést próbálták. Ugyanis azt vettem észre, hogy túl sok a sikertelen bejelentkezések száma a gépemre...

Üdv.

Hozzászólások

Nekem ez jutott róla az eszembe, de nem próbáltam ki...

iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH_DOS --rsource

iptables -t filter -A INPUT -i eth0 -p tcp --dport -m state --state NEW -m recent --update --seconds 120 --hitcount 5 --name SSH_DOS --rsource -j DROP

En a DenyHosts (http://denyhosts.sourceforge.net/) melett voksolok. Mar tobb mint egy eve hasznalom. Szepen be lehet allitanii, hogy hany probalkozas utan zarja ki az IP cimet es menyi ido utan szabaditsa fel, meg sok egyeb dolgot.

Én meg pont ilyen célból írtam/írok a szerveremre egy programot, ami analizálja a logokat és kitiltja a betolakodókat. Figyeli a dropbear (SSH), postfix, vsftpd és thttpd logokat, és három visszautasított próbálkozás után 1 órára tiltja az adott IP-t. Nagyon hatásos :D (és még másra is fel lehet használni, pl statisztika készítés) Gondolom a denyhost is ilyen, csak kicsit többet tud.
--
http://www.open-st.eu

- Python: az én szerveremen ilyenek nincsenek, és nem is lesznek, ha lehet. Ez egy embedded cuccon fut (Xscale), nem akarom az értékes CPU-erőforrásokat pazarló szkritpnyelvekre áldozni;
- C-ben megírva 1000x gyorsabb lesz, és a saját munkám, oda fejlesztem, ahová akarom;
- hobby;
- nem csak tiltásra, hanem sok egyébre is jó lesz, ez inkább egy log-analizáló program, melynek első feladata a behatolási kísérletek tiltással való büntetése;
--
http://www.open-st.eu

azért nekem eddig a leghatásosabb védekezés az volt, hogy internet felől nem 22-es porton érhető el ssh. egy másik portot használok kintről, amit a router forwardol befelé a 22-re. azóta egy darab bepróbálkozásom nincs. és most várom a lehurrogásokat, hogy ez az ellen nem véd, satöbbi :)

----------------------------------
feel the beat - it's everywhere!

Szerintem ez nagyon jó ötlet, de magában mégsem hagynám... szóval ugyanúgy rátenném attól még a túl sok bepróbálkozás utáni tiltást :)

Nekem meg SVN-szervert kellene üzemeltetnem alkalmi jelleggel, hogy a dolgaimat máshol is elérhessem, de azért egy SVN szervert nem akarok kirakni a netre, így ezeket találtam ki rá:
- kívülről nem a szabvány SSH porton látszódna;
- nem indulna el automatikusan, hanem root-ként be ssh-zva a szerverre én indítanám és állítanám le.

Így biztonságos szerintem :)
--
http://www.open-st.eu

Esetleg érdemes fix ip-t vagy ip tartományt megadni sshd_conf-ban és akkor annyival is nehezebb a dolog. Bár ez a probálkozás ellen konkrétan nem véd, de +1 védelem.

De a legtutibb a knockd :)