| |
| 1.1, xa4a, 12:56, 27/05/2007 [ответить] [смотреть все]
| +/– |
в линуксе делаю так:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --rttl --name SSH --rsource -j DROP
|  | | |
| 1.3, akvazar, 09:12, 28/05/2007 [ответить] [смотреть все]
| +/– | |
Эт конечно решение, но не проще(правильнее) ли пойти от обратного и закрыть ssh изначально за фаером, а открывать тем же порткнокером? Если кулхацкеры не увидят ssh вообще, то и щимиться не будут :) |  | | |
| 1.10, niger, 13:33, 28/05/2007 [ответить] [смотреть все]
| +/– |
Если использовать PF то разумнее использовать
An example rule:
pass in on $ext_if proto tcp to $web_server \
port www flags S/SA keep state \
(max 200, source-track rule, max-src-nodes 100, max-src-states 3)
The rule above defines the following behavior: Limit the absolute maximum number of states that this rule can create to 200 Enable source tracking; limit state creation based on states created by this rule only Limit the maximum number of nodes that can simultaneously create state to 100 Limit the maximum number of simultaneous states per source IP to 3
потом по крону чистить таблицу. В обсд можно без крона. | | | |
| 1.15, Skif, 13:23, 29/05/2007 [ответить] [смотреть все]
| +/– |
или так :)
###number 1
block drop in quick on $ext_if from <ssh-bruteforce>
###number 2
pass in on $ext_if proto tcp from any to $ext_if) port ssh flags S/SA keep state (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global)
смотреть список адресов
pfctl -T show -t ssh-bruteforce
|  | | |
| 1.16, drongous, 15:01, 29/05/2007 [ответить] [смотреть все]
| +/– |
Ответ чемберлена.
Читаем тут: "Simple portknocking daemons as knockd are vulnerable because a sniffer may recover which ports where knocked. A better solution is Cryptknock ([WWW] http://cryptknock.sourceforge.net/) Cryptknock's description says: "Cryptknock is an encrypted port knocking tool. Unlike other port knockers which use TCP ports or other protocol information to signal the knock, an encrypted string is used as the knock. This makes it extremely difficult for an evesdropper to recover your knock (unlike other port knockers where tcpdump can be used to discover a port knock)." |  | | |
| |
| 2.19, pavel_simple, 16:02, 31/05/2007 [^] [ответить] [смотреть все] [показать ветку]
| +/– |
>и когда портнокер падает, достучаться до машины не реально...
>
>хорошая перспектива
cron эту проблему снимает, да и чтоб портнокер падал -- ну не знаю чем его так сильно надо постараться. | | | |
|
| 1.20, JavaScript, 14:22, 03/06/2007 [ответить] [смотреть все]
| +/– |
моя делать так:
/usr/ports/security/sshit/
# make install clean
/usr/local/etc/sshit.conf ->
FIREWALL_TYPE = ipfw2
/etc/syslog.conf ->
auth.info;authpriv.info |exec /usr/local/sbin/sshit
ipfw add ### deny ip from table(0) to any
/etc/rc.d/syslod restart
дополнительно можно:
/etc/ssh/sshd_config ->
AllowUsers user1 user2
/etc/rc.d/sshd reload | | | |
| 1.21, Mike, 18:08, 08/06/2007 [ответить] [смотреть все]
| +/– |
[17:04][copperhead][/home/mike]#cat /etc/inetd.conf | grep sshd
ssh stream tcp nowait/5/10 root /usr/sbin/sshd sshd -i -4
не вариант более? | | | |
| 1.23, 1, 17:02, 20/06/2007 [ответить] [смотреть все]
| +/– | |
незнаю...н амоих сервоках раньще постоянно пытались подобрать пароль...Но сделал мутки и после 3-ёх неудачных логинов ip блочиться на сутки...Через сутки можно пробовать опять... | | | |
| 1.27, XoRe, 13:48, 03/08/2007 [ответить] [смотреть все]
| +/– |
Кстати укажу на ещё одну альтернативу:
/etc/ssh/sshd_config
А в целом есть много способов снять с кошки щкуру )
Так же есть много способов автоматического блочения хулиганов.
|  | | |
| |
| 2.28, Lion_Ua, 18:16, 30/09/2007 [^] [ответить] [смотреть все] [показать ветку]
| +/– |
У меня заработало только если добавить
auth.info;authpriv.info |exec /usr/local/sbin/sshit
после строки
auth.info;authpriv.info /var/log/auth.log
Когда прописал в конце не работало!
|  | | |
|
|
|
