Автор Гілка: ssh: блокування ІР після неправильного пароля (Прочитано 1514 раз)

noddeat · « : 2009-04-21 18:24:27 »

поколупав /etc/ssh/sshd_config і не знайшов там щось такої можливості. Отже, треба блокувати ІР після другої неправильної спроби введення пароля і/або логіна.

буду вдячний за підказку/лінк на якце

PAL · « **Відповідей #1 :** 2009-04-23 02:25:22 »

* співчутливо:
Китайці дістали? Якщо так, то задача вирішується трохи іншим шляхом. З brute force attack на SSH можна боротися:
- зміна номеру порту
- прикручування до iptables правил на зразок:

Код: [Вибрати]

iptables -N SSH_BF
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j SSH_BF
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A SSH_BF -m recent ! --rcheck --seconds 120 --hitcount 10 --name SSH --rsource -j RETURN
iptables -A SSH_BF -j DROP
iptables -A SSH_BF -j LOG --log-prefix "SSH Brute Force Attempt:  "

Для садистів з параноїдальним синдромом замість DROP можна рекомендувати TARPIT. Для мазохістів з шизофренією: -j REJECT --reject-with icmp-host-unreachable

noddeat · « **Відповідей #2 :** 2009-04-23 10:26:51 »

Цитата

- зміна номеру порту

ага, це вже зробив.

дякую, буду пробувати. мені єдине не зрозуміло в iptables це, чи зберігаються десь ці налаштування в конфігах, після перевантаження їх не треба вводити наново?

knedlyk · « **Відповідей #3 :** 2009-04-23 14:22:25 »

Цитата: noddeat від 2009-04-21 18:24:27

поколупав /etc/ssh/sshd_config і не знайшов там щось такої можливості. Отже, треба блокувати ІР після другої неправильної спроби введення пароля і/або логіна.

буду вдячний за підказку/лінк на якце

Копайте в бік denyhosts - http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts

PAL · « **Відповідей #4 :** 2009-04-23 18:06:30 »

Цитата: noddeat від 2009-04-23 10:26:51

Цитата
- зміна номеру порту
дякую, буду пробувати. мені єдине не зрозуміло в iptables це, чи зберігаються десь ці налаштування в конфігах, після перевантаження їх не треба вводити наново?

Якщо просто дасте команди з консолі, то, звичайно ні

Місце, де зберігаються налаштування залежить від дистру. Для RedHat дистрів це /etc/sysconfig/iptables
Для Ubuntu - /etc/ufw
Щодо інших не в курсі, порийтеся по /etc

PAL · « **Відповідей #5 :** 2009-04-23 18:10:32 »

Цитата: knedlyk від 2009-04-23 14:22:25

Копайте в бік denyhosts - http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts

Цікаве рішення, але мій спосіб для віддалених систем кращий

Якщо адмін сам випадково піймав блок, треба тільки почекати трохи (час залежить від конкретних параметрів у iptables), й знов можна пробувати.

noddeat · « **Відповідей #6 :** 2009-04-24 11:07:44 »

потестив, все працює, дякую

я правильно зрозумів, що воно блокує, якщо протягом 2 хвилин було 10 спроб під’єднання? а де подивитись, на який час блокує?

PAL · « **Відповідей #7 :** 2009-04-24 17:51:29 »

Цитата: noddeat від 2009-04-24 11:07:44

потестив, все працює, дякую

я правильно зрозумів, що воно блокує, якщо протягом 2 хвилин було 10 спроб під’єднання? а де подивитись, на який час блокує?

Майже правильно

Але трохи не так.
Дозволено не більше 10 спроб під'єднатися за останні 120 сек.
Тобто, якщо за перші 10 сек виконано 10 спроб, то чекати треба 110 сек. Але, якщо пробувати під'єднатися кожні 15 сек, то блокування не буде взагалі.

Linux.org.ua

Автор Гілка: ssh: блокування ІР після неправильного пароля (Прочитано 1514 раз)

noddeat

ssh: блокування ІР після неправильного пароля

PAL

Re: ssh: блокування ІР після неправильного пароля

noddeat

Re: ssh: блокування ІР після неправильного пароля

knedlyk

Re: ssh: блокування ІР після неправильного пароля

PAL

Re: ssh: блокування ІР після неправильного пароля

PAL

Re: ssh: блокування ІР після неправильного пароля

noddeat

Re: ssh: блокування ІР після неправильного пароля

PAL

Re: ssh: блокування ІР після неправильного пароля