forum.opennet.ru

"OpenNews: Блокирование подбора паролей с помошью пакетного фильтра PF"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Я чего-то остро недопонимаю."	+/–
Сообщение от Квагга (?), 07-Май-06, 00:26
Я чего-то остро недопонимаю - сканят, да пусть хоть обсканятся наизнанку. Не ханипоты же поднимать для выявления активности??? Ну а "брутфорс", не громковато ли сказано для возможности отрубить средствами sshd на полчасика вход после первой неудачной попытки, когда имя судуера тоже надо еще как УГАДАТЬ? Только судуер "kjhcsa8ucwh9cwh2h73rc73f2npeklu;" может войти по SSH. Одна попытка на 10 сек и 30 мин отдыхать. КАКОЙ "брутфорс"? Мне сканирующие порты господа очень помогают - я вижу точки и почерк развития активности. ИМХО описанный подход - это как охране банка конопатить уши ватой, чтобы не раздражал скрип пилы об сейф.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

OpenNews: Блокирование подбора паролей с помошью пакетного фильтра PF, opennews, 06-Май-06, 16:09 [смотреть все]

Имхо проще перенести sshd на нестандартный порт , Алхимик, 06-Май-06, 16:09 (1) //
- IMHO такие вещи лучше решать с помощью файрвола А сканить будут один фиг по диа, CrazyF, 06-Май-06, 16:53 (6) //
  - Я чего-то остро недопонимаю - сканят, да пусть хоть обсканятся наизнанку Не хани , Квагга, 07-Май-06, 00:26 (23) //
    - Не мог бы кто-нибудь ткнуть меня носом, как именно это сделать в манах нету, в , Krieger, 12-Дек-06, 23:05 (69)
- Поддерживаю , 5trovi4, 10-Май-06, 10:36 (63)
а для iptables как подобного добиться , Аноним, 06-Май-06, 16:10 (2)
Поддерживаю - перенес sshd на нестандартный порт и все , Аноним, 06-Май-06, 16:49 (4) //
- iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --setiptable, Stinky, 07-Май-06, 14:33 (41) //
  - на 2 4 31 это работать должно у меня не пускает ни разу по этой паре правил , Settler, 08-Май-06, 17:19 (53)
  - и на 2 6 16 7 тоже дропаются соединения вы это проверяли может еще что-то допи, Settler, 08-Май-06, 17:23 (54) //
    - Это точно работает так, как задумано на 2 6 12 iptables 1 3 4 то что сейчас кру, Stinky, 08-Май-06, 18:01 (55)
      - включено эксперимент на 2 6 16 7 14 - показал что это больше не работает ipta, Settler, 08-Май-06, 19:05 (57)
      - очень уж хочется, что-бы это работало может я торможу и там само-собой еще к, Settler, 08-Май-06, 20:04 (58)
        
        Дык, блин Ну конечно ACCEPT после этих правил должен идти Что-нить стандартно, Stinky, 09-Май-06, 13:27 (61)
        
        угу, уже работает, догадался спасибо хорошая штука вообще удобный модуль пос, Settler, 09-Май-06, 14:47 (62)
    - Кстати, сперто отсюдаhttp www linux org ru view-message jsp msgid 1320671, Stinky, 08-Май-06, 18:05 (56)
man iptables--- limit This module matches at a limited rate using a toke, Аноним, 06-Май-06, 16:51 (5) //
- Интересно, а как модуль limit сможет отличить авторизацию на ssh, от работы уже , satelit, 07-Май-06, 04:25 (31) //
  - --syn Only match TCP packets with the SYN bit set and the , daff, 07-Май-06, 12:29 (35) //
    - Тогда получиься задержка не на каждую авторизацию, а на каждую вторую авторизаци, satelit, 07-Май-06, 17:38 (42)
Что-то мне все эти лимиты не нравятся Лучше уж разрешить доступ только для опре, Mikk, 06-Май-06, 17:59 (7)
пожалуйста, не пишите ересь про перенос на нестандартный порт это помогает толь, keyhell, 06-Май-06, 19:02 (8)
Под BSD найти бы такое iptables -A INPUT -d INADDR -m state --state NEW -m tc, MacCook, 06-Май-06, 20:30 (9) //
- Очень интересный пример кстати , pro, 06-Май-06, 21:01 (10)
- usr ports security doorman - не поможет , Userr, 06-Май-06, 23:05 (19)
- Я чуть-чуть доработал пример - иначе nmap открывает порт iptables -A INPUT -d I, Андрей, 08-Май-06, 14:41 (52)
Ещё один вариант http ethernet org brian src timelox и небольшой комментарий , fb, 06-Май-06, 21:18 (13)
Для IPTables есть hashlimit, который уже, даже, включен стд релиз http www net, mofs, 06-Май-06, 21:28 (15)
Почти такое же решение, но своего производства , использовал на фре Потом отк, Аноним, 06-Май-06, 22:28 (16)
Основное тут, то что можно и нужно не блокировать, а затормозить и выдать ошибоч, BB, 06-Май-06, 22:33 (17) //
- Ну для особо боязливых я к ним отношусь существует portsentry Бывае иногда чт, dem, 06-Май-06, 23:47 (20)
pf рулит однако хотя с другой стороны дыры php на хостинговом сервере таким о, dvg_lab, 07-Май-06, 00:19 (22)
Ребятя, а про sshlockout уже все забили Или никто и не знал , Adil_18, 07-Май-06, 00:45 (24) //
- Какой именно Гугл показал несколько версий, например http www xyz com progs s, greyork, 07-Май-06, 01:09 (25) //
  - Любой, главное у тебя есть открытый код который можно локализировать под свои ну, Adil_18, 07-Май-06, 01:49 (26) //
    - Вы совершенно правы Но, аргументы вроде этого apt-cache search sshlockout пус, greyork, 07-Май-06, 02:02 (27)
      - include stdio h include stdlib h include unistd h include string h incl, Adil_18, 08-Май-06, 00:23 (50)
нестандартный порт и сообщений об ошибочной авторизации более чем достаточно для, RedEyes, 07-Май-06, 04:15 (30)
1 xinetd, я так понимаю, никто не использует, и не знает о его параметре only_f, Аноним, 07-Май-06, 10:59 (33)
ну тупой, ну тупой - америкосы рядом даже не валялись прочитай внимательно Пере, злобный, 07-Май-06, 21:15 (46)
Для подобных целей использую софтинку по имени fail2ban Весьма удобно и конфигу, StSphinx, 07-Май-06, 21:18 (47) //
- Вот тоже как вариант usr ports security bruteforceblocker BruteForceBlocker is a, dukie, 08-Май-06, 04:37 (51)
По моему такие вещи должны решаться на уровне самого sshd , аноним, 09-Май-06, 05:24 (59)
первый человек, смотрящий в корень проблемы , Аноним, 09-Май-06, 11:44 (60) //
- Вопрос в том, почему до сих пор разработчики SSHD не предусмотрели возможность б, Andrey, 10-Май-06, 13:42 (64) //
  - еще бы chroot сделали из коробочки , Settler, 10-Май-06, 18:40 (65)
  - от нафлудили а доступ по паре клюучей сделать слабо, да или серты это типа то, Аноним, 11-Май-06, 00:13 (66)
Мне кажется тут в запарке забыли, что бывает не только скан 64к портов на одном , mic, 01-Июн-06, 21:31 (67) //
- А если создать эмитатор подключения к sshd и редиректить на этот порт атакующего, Ce, 09-Июн-06, 04:01 (68)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру