| |
| 2.6, CrazyF (?), 16:53, 06/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
IMHO такие вещи лучше решать с помощью файрвола. А сканить будут один фиг по диапазону портов. И ваш "нестандартный" порт будут пытаться сломать всё равно..... | | |
| |
| 3.23, Квагга (?), 00:26, 07/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Я чего-то остро недопонимаю - сканят, да пусть хоть обсканятся наизнанку.
Не ханипоты же поднимать для выявления активности???
Ну а "брутфорс", не громковато ли сказано для возможности отрубить средствами sshd
на полчасика вход после первой неудачной попытки, когда имя судуера
тоже надо еще как УГАДАТЬ?
Только судуер "kjhcsa8ucwh9cwh2h73rc73f2npeklu;" может войти по SSH.
Одна попытка на 10 сек и 30 мин отдыхать. КАКОЙ "брутфорс"?
Мне сканирующие порты господа очень помогают - я вижу точки и почерк
развития активности.
ИМХО описанный подход - это как охране банка конопатить уши ватой,
чтобы не раздражал скрип пилы об сейф. | | |
| |
| 4.69, Krieger (?), 23:05, 12/12/2006 [^] [^^] [^^^] [ответить]
| +/– |
 >Ну а "брутфорс", не громковато ли сказано для возможности отрубить средствами sshd
>
>на полчасика вход после первой неудачной попытки, когда имя судуера
>тоже надо еще как УГАДАТЬ?
>
>Только судуер "kjhcsa8ucwh9cwh2h73rc73f2npeklu;" может войти по SSH.
>Одна попытка на 10 сек и 30 мин отдыхать. КАКОЙ "брутфорс"?
Не мог бы кто-нибудь ткнуть меня носом, как именно это сделать? в манах нету, в доках не нашёл... А очень хочется знать.
| | |
|
|
|
| |
| 2.41, Stinky (?), 14:33, 07/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 4 -j DROP
Три соединения (новых) в минуту пускает нормально, дальше дропает. Если минуту не дергаться, соответственно можно опять подключаться. Переборшиков блокирует на ура. | | |
| |
| 3.53, Settler (?), 17:19, 08/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
 на 2.4.31 это работать должно? у меня не пускает ни разу по этой паре правил.
| | |
| 3.54, Settler (?), 17:23, 08/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
и на 2.6.16.7 тоже дропаются соединения. вы это проверяли? может еще что-то дописать нужно? | | |
| |
| 4.55, Stinky (?), 18:01, 08/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
Это точно работает так, как задумано на 2.6.12/iptables 1.3.4 (то что сейчас крутится)
"recent match support" включено?
| | |
| |
| 5.57, Settler (?), 19:05, 08/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
включено. эксперимент на 2.6.16.7/14 - показал что это (больше) не работает.
iptables v1.3.5 | | |
| 5.58, Settler (?), 20:04, 08/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
*очень уж хочется, что-бы это работало :)*
может я торможу и там само-собой еще какие-нибудь правила нужно дописать? где собственно оно пускает-то? accept где будет? | | |
| |
| 6.61, Stinky (?), 13:27, 09/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
Дык, блин...
Ну конечно ACCEPT после этих правил должен идти. Что-нить стандартное типа '-dport 22 -j ACCEPT'. | | |
| |
| 7.62, Settler (?), 14:47, 09/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
угу, уже работает, догадался :)
спасибо. хорошая штука.
вообще удобный модуль (посмотрел его сайт - мне понравился пример с блокированием всего от того, кто стукнулся на не тот порт).
| | |
|
|
|
|
|
|
| 1.5, Аноним (-), 16:51, 06/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
man iptables
---
limit
This module matches at a limited rate using a token bucket filter. A
rule using this extension will match until this limit is reached
(unless the '!' flag is used). It can be used in combination with the
LOG target to give limited logging, for example.
--limit rate
Maximum average matching rate: specified as a number, with an
optional '/second', '/minute', '/hour', or '/day' suffix; the
default is 3/hour.
--limit-burst number
Maximum initial number of packets to match: this number gets
recharged by one every time the limit specified above is not
reached, up to this number; the default is 5.
--- | | |
| |
| 2.31, satelit (?), 04:25, 07/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Интересно, а как модуль limit сможет отличить авторизацию на ssh, от работы уже авторизованного пользователя?, а то получиться что он будет тормозить нормальную работу. | | |
| |
| 3.35, daff (?), 12:29, 07/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
[!] --syn
Only match TCP packets with the SYN bit set and the ACK,RST and
FIN bits cleared. Such packets are used to request TCP connec-
tion initiation; for example, blocking such packets coming in an
interface will prevent incoming TCP connections, but outgoing
TCP connections will be unaffected. It is equivalent to --tcp-
flags SYN,RST,ACK,FIN SYN. If the "!" flag precedes the
"--syn", the sense of the option is inverted.
| | |
| |
| 4.42, satelit (?), 17:38, 07/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Тогда получиься задержка не на каждую авторизацию, а на каждую вторую авторизацию, т.к. ssh сервер (у меня по крайней мере) допускает две попытки авторизации в рамках одного соединения, хотя и этого достаточно. | | |
|
|
|
| 1.7, Mikk (?), 17:59, 06/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Что-то мне все эти лимиты не нравятся. Лучше уж разрешить доступ только для определённых сетей. | | |
| 1.8, keyhell (??), 19:02, 06/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
пожалуйста, не пишите ересь про перенос на нестандартный порт. это помогает только против школьников.
надежной защитой является правильная настройка firewall + запрет на доступ из внешних сетей + авторизация по ключам. | | |
| 1.9, MacCook (?), 20:30, 06/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Под BSD найти бы такое...
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1599 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1600 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1601 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP
На 22 коннект закрыт пока не стукнешься на 1600.
telnet myhost 1600
и мой IP заносится в список, теперь можно на 22 коннектить... | | |
| |
| 2.52, Андрей (??), 14:41, 08/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
Я чуть-чуть доработал пример - иначе nmap открывает порт.
iptables -A INPUT -d $INADDR -m recent --rcheck --name SCAN --seconds 60 -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --seconds 5 --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1599 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1600 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1601 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -m recent --name SCAN --set -j DROP | | |
|
| 1.16, Аноним (-), 22:28, 06/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Почти такое же решение, но своего "производства", использовал на фре. Потом отказался. ИМХО лучше прописать доступ по ssh с доверенного хоста/хостов. | | |
| 1.17, BB (??), 22:33, 06/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Основное тут, то что можно и нужно не блокировать, а затормозить и выдать ошибочную информацию для атакующего :)
Для аттакующего разбор логов Nmap и поиск по этим результатам уязвимостей и применение их и так процесс достаточно "депресивный" а тут еще и обманывают его на каждом порту/шаге :) | | |
| |
| 2.20, dem (?), 23:47, 06/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
 >Основное тут, то что можно и нужно не блокировать, а затормозить и
>выдать ошибочную информацию для атакующего :)
>Для аттакующего разбор логов Nmap и поиск по этим результатам уязвимостей и
>применение их и так процесс достаточно "депресивный" а тут еще и
>обманывают его на каждом порту/шаге :)
Ну для особо боязливых (я к ним отношусь) существует portsentry. Бывае иногда что срывается по постяками, но в основном я доволен. | | |
|
| 1.22, dvg_lab (??), 00:19, 07/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
pf рулит однако... хотя с другой стороны дыры php на хостинговом сервере таким образом не заткнешь :-/ | | |
| |
| |
| 3.26, Adil_18 (?), 01:49, 07/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
 Любой, главное у тебя есть открытый код который можно локализировать под свои нужды. | | |
| |
| 4.27, greyork (??), 02:02, 07/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
 > Любой, главное у тебя есть открытый код который можно локализировать под свои нужды.
Вы совершенно правы. Но, аргументы вроде этого:
$ apt-cache search sshlockout
(пусто)
тоже по своему верны, вы не находите? :) Особенно - в случае "боевого" сервера.
// greyork | | |
|
|
|
| 1.30, RedEyes (?), 04:15, 07/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 нестандартный порт и сообщений об ошибочной авторизации более чем
достаточно для выявления и пресечения нежелательной активности.
я печатаю быстро вслепую, частенько ошибаюсь. что, полчаса ждать разрешения?
кстати, печатать медленно гораздо опаснее: часто рядом не в меру любопытный
юзверь на твои руки зеньки лупит. просить отвернуться как то неудобно:
я ведь не ссать собираюсь :-)
хуйнёй вы занимаетесь, ребята, никому это не надо. | | |
| 1.33, Аноним (-), 10:59, 07/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
1. xinetd, я так понимаю, никто не использует, и не знает о его параметре only_from
2. использовать в качестве метода защиты DoS sshd - да это круто.
согласен с предыдущим оратором - хуйней вы занимаетесь.
| | |
| 1.46, злобный (?), 21:15, 07/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> 1. xinetd, я так понимаю, никто не использует, и не знает о его параметре
> only_from
> 2. использовать в качестве метода защиты DoS sshd - да это круто.
ну тупой, ну тупой - америкосы рядом даже не валялись
прочитай внимательно
"Переведены две статьи про блокирование "bruteforce" атак на ssh"
| | |
| 1.47, StSphinx (??), 21:18, 07/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Для подобных целей использую софтинку по имени fail2ban. Весьма удобно и конфигурябельно.
Смотрит лог и блокирует IP после N неудачных попыток авторизации, на M минут. M и N настраиваемо. В мыло шлет сообщения о заблокированных брутфорсерах.
ИМХО единственный минус - написано не питоне, ибо не на всех боевых серверах есть питон. | | |
| |
| 2.51, dukie (??), 04:37, 08/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
Вот тоже как вариант
/usr/ports/security/bruteforceblocker/
BruteForceBlocker is a perl script, that works along with pf - OpenBSD's
firewall (Which is also available on FreeBSD since version 5.2 is out).
It's main purpose is to block SSH bruteforce attacks via firewall.
When this script is running, it checks sshd logs from syslog and looks
for Failed Login attempts - mostly some annoying script attacks, and
counts number of such attempts. When given IP reaches configured limit
of fails, script puts this IP to the pf's table and blocks any further
traffic to the that box from given IP (This also depends on
configuration done in pf.conf).
WWW: http://danger.rulez.sk/projects/bruteforceblocker/
| | |
|
| |
| 2.64, Andrey (??), 13:42, 10/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Вопрос в том, почему до сих пор разработчики SSHD не предусмотрели возможность блокировать IP после определенного количества неудачных логинов? | | |
| |
| 3.66, Аноним (-), 00:13, 11/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
от нафлудили...
а доступ по паре клюучей сделать слабо, да ?
или серты это типа тока ентрепрайз... ???
я вообще от паролей отошел уже давно ибо у меня ноут мой и таксаю я везде его с собой, и помнить всех и вся мне в лом...
а брутфорсеры ?! ну пусть подбриают мой 1024-rsa + dsa хостовый :))))
| | |
|
|
| 1.67, mic (??), 21:31, 01/06/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мне кажется тут в запарке забыли, что бывает не только скан 64к портов на одном адресе, но и скан всей сетки по порту.
Ежели не забанить желающих, то можно и 50 метров на адрес поиметь "незаказанного" трафика в месяц.
Умножте на количество хостов в сети с 22 портом. | | |
| |
| 2.68, Ce (ok), 04:01, 09/06/2006 [^] [^^] [^^^] [ответить]
| +/– |
А если создать эмитатор подключения к sshd и редиректить на этот порт атакующего.
Можно повесилиться обоим сторонам. :)) | | |
|
|
