ssh csatlakozások száma /ip

FreeBSD-all

ssh csatlakozások száma /ip

  • 916 megtekintés

( Zahy v | 2005. 09. 26., h – 22:54 )

[quote:60a4a66c46="OxY"]ipfw-t néztem már énis, de csak végszükség esetén állnék át ipf-ről..

És ki mondta, hogy állítsad át? Ez a szép ebben a FreeBSD-ben, hogy minden további nélkül használhatod akár mind a három tűzfalprogit párhuzamosan - azaz megy az eddig ipf, csak éppen pluszban belövöd a fent említett ssh-s szabályt is. Természetesen gyorsabb nem lesz attól, hogy ketten is ugyanazt csinálják, de értelmes szabályrendszerrel nem veszítesz oly sokat.

( tempix | 2005. 09. 27., k – 09:27 )

Nekem is tele lett a hocipom, no meg a logparticiom, foleg, hogy mar magyar nevekkel is probalkoznak a magyar .hu -s szerveren. Megrettenni azert nem rettentem meg, mert root letiltva, a usereknek is atombonyolult jelszavaik vannak. Apropo userek: sajnos miattuk nem tettem at en sem a portot, IP tiltassal mar telelenne a tuzfalszabalylista, maxconnections? - es ha 10 en probalkoznak, akkor te mar nem tudsz kapcsolatot kezdemenyezni? Sza userek es egyeb dolgok miatt bonyolult dolgok, mint pl portknock nem jon be, ezert en azt csinaltam, hogy a port alapbol zarva, el kell latogatni egy cgi-s weboldalra a szerveren, ami egy localhost daemonnal kapcsolodik, es a daemon nyitja a REMOTE_ADDRESS fele a portot 30 sec ig... 3 napja teszteljuk, egyelore jol muxik, es a userek se nyafognak.
Ha erdekel, elkuldhetem a cuccost.

( tempix | 2005. 09. 27., k – 09:35 )

Azt elfelejtettem irni, de sejtheto, hogy cgi-bin-es apache kell hozza, a cuccot perlben irtam, a daemon-t (x)inetd hivja fel keres eseten.

( OxY | 2005. 09. 25., v – 20:55 )

hi!

elég sokan próbálnak csatlakozni script-el a gépeimre és próbálgatják a userneveket, rootpass-t, gondolom nem ismeretlen a probléma..
régebben inetd-ből futtattam sshd-t, ott be tudtam állítani, hogy egy IP-ről mondjuk 5kapcsolatot engedjek 1percen belül, utána tiltsa le x percre...
mióta daemonként futtatom viszont nemtaláltam ilyen megoldást, így ömlik a sok ssh connect, ami nemcsak feleslegesen viszi az erőforrást, hanem még a napi security log-ban is 10-20-50 oldal
kérdésem tehát: mi a megoldás? ipf-et használok tűzfalnak, akár innen limitálni a próbálkozások számát, akár sshd_config-ból, vagy bárhonnan, ami megoldás
lehetőség szerint nemszeretném eltenni 22-es portról...

köszi a helpet!

( Panther v | 2005. 09. 25., v – 20:57 )

hát, iptables limit match-ével megy: -m limit --limit 5/min

( lacika v | 2005. 09. 25., v – 20:57 )

Miért is nem szeretnéd elrakni a 22-es portról. Nekem ez sokat segített.

Laci

( OxY | 2005. 09. 25., v – 21:01 )

1, a rendszer freebsd, itt nincs iptables
2, tudom, hogy sokat segít, de mégse megoldás, több szempontból is maradnia kell a default porton, ezen sajnos nemtudok változtatni

( Panther v | 2005. 09. 25., v – 21:13 )

Akkor talán ez:
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=8353+0+/usr/local/www/db/text/2005/freebsd-ipfw/20050522.freebsd-ipfw

limit {src-addr | src-port | dst-addr | dst-port} N

( OxY | 2005. 09. 27., k – 14:45 )

inetd-re bíztam ismét az sshd kezelését...5próbálkozást enged percenként/ip, ha sikertelen, akkor letilt 10percre, azóta 3 sor a log, az eddigi 5-800 helyett

( OxY | 2005. 09. 25., v – 22:19 )

ipfw-t néztem már énis, de csak végszükség esetén állnék át ipf-ről..

( amper | 2005. 09. 26., h – 00:31 )

Nézd meg itt: man sshd_config
Ezt keresd: MaxStartups

( andrej_ v | 2005. 09. 26., h – 00:52 )

[quote:7a47c79865="OxY"]1, a rendszer freebsd, itt nincs iptables
2, tudom, hogy sokat segít, de mégse megoldás, több szempontból is maradnia kell a default porton, ezen sajnos nemtudok változtatni

Ha tudsz változtass kulcsos authra és lehetőleg azokat a tarományokat engedd be a 22-es portra, amiknek kell az SSH. Az allowusers es allowgroups szintén kötelező jellegű, ha még nem eröltetted. Gondolom a root ssh tiltott eleve. Én azt is meg szoktam játszani, hogy a szkennelő IP-jének full tartományát (/24 vagy /16) simány fullosan egy block in quick from... to any -vel kivágom. Ha esetleg magyar helyről jön, akkor írok az ISP abuse címére és ez általában beválik. Általában mindenféle brazil, távol-keleti és hasonló helykről jönnek, amik azért nem túl nagy problémázással tilthatók.

( Zahy v | 2005. 09. 27., k – 23:06 )

Ja, ha nagyon zavar az inetd, esetleg nézd meg a Bernstein-féle daemontools-t (bár baromi rég volt, a fene se emlékszik, lehet-e ilyen korlátozásokat csinálni vele, mint az alap FreeBSD-s inetd-vel).

( Mik v | 2005. 09. 28., sze – 08:28 )

Rovid nezelodes utan nemsikerult megtalalnom, hogy BSD-t tamogatja e, egyebkent nagyon jokis progi:
http://fail2ban.sourceforge.net/

Mik

( gdavid v | 2005. 09. 28., sze – 08:54 )

en ssh-t csak localhostrol es tun0 -rol engedek fellepni (vpn)