The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Помогите прикрыть SSH"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Помогите прикрыть SSH" 
Сообщение от BigElph emailИскать по авторуВ закладки on 22-Ноя-04, 18:38  (MSK)
В последнее время очень часто в логах видится усиленная долбежка моего ssh на предмет подбора паролей. В связи с этим хотел спросить помощи. Суть - по ssh я вхожу только с одного определенного логина, к примеру admin. Хочу - придумать скрипт, чтоб на всех тех, кто пытается подобрать root и прочие левые аккаунты сразу заводился отлуп в ipfw.
Тоесть зашли не под тем именем и сразу в ipfw add deny...

Как бы это сделать?

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Помогите прикрыть SSH" 
Сообщение от shadow Искать по авторуВ закладки(??) on 23-Ноя-04, 12:38  (MSK)
напиши анализатор для логов perl думаю подойдет
и пропиши в нем правила для ipfw
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите прикрыть SSH" 
Сообщение от APta emailИскать по авторуВ закладки(ok) on 23-Ноя-04, 12:51  (MSK)
>В последнее время очень часто в логах видится усиленная долбежка моего
>Как бы это сделать?

А заходишь как, через локалку или через инет.
Если через локалку то в ipfw add deny from any to any 22 via (внешний интерфес)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Помогите прикрыть SSH" 
Сообщение от BigElph emailИскать по авторуВ закладки on 23-Ноя-04, 13:57  (MSK)
>>В последнее время очень часто в логах видится усиленная долбежка моего
>>Как бы это сделать?
>
>А заходишь как, через локалку или через инет.
>Если через локалку то в ipfw add deny from any to any
>22 via (внешний интерфес)

Да если б только через локалку, вопросов не было бы. Захожу с диалапа, ip постоянно разные.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Помогите прикрыть SSH" 
Сообщение от fantom Искать по авторуВ закладки(??) on 23-Ноя-04, 14:27  (MSK)
>>>В последнее время очень часто в логах видится усиленная долбежка моего
>>>Как бы это сделать?
>>
>>А заходишь как, через локалку или через инет.
>>Если через локалку то в ipfw add deny from any to any
>>22 via (внешний интерфес)
>
>Да если б только через локалку, вопросов не было бы. Захожу с
>диалапа, ip постоянно разные.


Укажи диапазон IP с которых входить можно

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Помогите прикрыть SSH" 
Сообщение от BigElph emailИскать по авторуВ закладки on 23-Ноя-04, 17:47  (MSK)
>>>>В последнее время очень часто в логах видится усиленная долбежка моего
>>>>Как бы это сделать?
>>>
>>>А заходишь как, через локалку или через инет.
>>>Если через локалку то в ipfw add deny from any to any
>>>22 via (внешний интерфес)
>>
>>Да если б только через локалку, вопросов не было бы. Захожу с
>>диалапа, ip постоянно разные.
>
>
>Укажи диапазон IP с которых входить можно

Чем ограничиться? Может сразу всю Россию? И как вообще это вы себе представляете? Я могу зайти с одного из двух-трех тысяч ip одного прова, могу с другого, а могу вообще произвольно если надо будет по-быстрому влезть к себе в сеть.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Помогите прикрыть SSH" 
Сообщение от glyuk emailИскать по авторуВ закладки on 25-Ноя-04, 05:48  (MSK)
запрети root'у локальный вход вообще - и пусть долбят до посинения, сам входи через суидный логин и потом становись рутом через su


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Помогите прикрыть SSH" 
Сообщение от BigElph emailИскать по авторуВ закладки on 25-Ноя-04, 17:22  (MSK)
>запрети root'у локальный вход вообще - и пусть долбят до посинения, сам
>входи через суидный логин и потом становись рутом через su

Что, на эту тему стоит флаг глупых ответов?
Я не пользуюсь рутом, не идиот, но те, кто мне туда долбят совсем не нравятся и напрочь не нужны.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Помогите прикрыть SSH" 
Сообщение от Beginner emailИскать по авторуВ закладки(??) on 26-Ноя-04, 13:08  (MSK)
>>запрети root'у локальный вход вообще - и пусть долбят до посинения, сам
>>входи через суидный логин и потом становись рутом через su
>
>Что, на эту тему стоит флаг глупых ответов?
>Я не пользуюсь рутом, не идиот, но те, кто мне туда долбят
>совсем не нравятся и напрочь не нужны.

А ты отписывай всем следящим за сетями, может и меньше станут долбиться, лет через 200. Если не хочешь чтоб долбились - отключайся от инета

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Помогите прикрыть SSH" 
Сообщение от nide Искать по авторуВ закладки on 26-Ноя-04, 00:34  (MSK)
а ssh только тобой используется?
можно включать его только тогда когда он те нужен(неоспоримая логика:)) заведи нового пользователя в системе, при входе которого в систему включается sshd(назначь ему шеллом /etc/rc.d/sshd_start_script)
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Помогите прикрыть SSH" 
Сообщение от tot emailИскать по авторуВ закладки(??) on 30-Ноя-04, 13:09  (MSK)
>а ssh только тобой используется?
>можно включать его только тогда когда он те нужен(неоспоримая логика:)) заведи нового
>пользователя в системе, при входе которого в систему включается sshd(назначь ему
>шеллом /etc/rc.d/sshd_start_script)
а запретить всем кроме своей учетной записи вход не пробовал?
ну и меняй пароль раз в три дня/часа!
может и глупо конечно, но...
файл /etc/ssh/sshd_config

добавь в него строчку AllowUsers  my_name

в my_name твоя запись на вход

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Помогите прикрыть SSH" 
Сообщение от BigElph emailИскать по авторуВ закладки on 30-Ноя-04, 13:23  (MSK)
>>а ssh только тобой используется?
>>можно включать его только тогда когда он те нужен(неоспоримая логика:)) заведи нового
>>пользователя в системе, при входе которого в систему включается sshd(назначь ему
>>шеллом /etc/rc.d/sshd_start_script)
>а запретить всем кроме своей учетной записи вход не пробовал?
>ну и меняй пароль раз в три дня/часа!
>может и глупо конечно, но...
>файл /etc/ssh/sshd_config
>
>добавь в него строчку AllowUsers  my_name
>
>в my_name твоя запись на вход

Да нет никаких других пользователей, только мой вход и все. Яж говорю, надоели целые рулоны логов, где всякие уроды пытаются подобрать пароль к левым входам. Понятное дело фиг что у них выйдет, просто канал у меня чахлый и таких экстремалов сразу хотелось бы пускать в отлуп на файрволе.
За день таких подборов может быть штук 5-6 с разных ip, а вот простыней логов - шквал.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Помогите прикрыть SSH" 
Сообщение от Name Искать по авторуВ закладки on 30-Ноя-04, 14:40  (MSK)
>Да нет никаких других пользователей, только мой вход и все. Яж говорю,
>надоели целые рулоны логов, где всякие уроды пытаются подобрать пароль к
>левым входам. Понятное дело фиг что у них выйдет, просто канал
>у меня чахлый и таких экстремалов сразу хотелось бы пускать в
>отлуп на файрволе.
>За день таких подборов может быть штук 5-6 с разных ip, а
>вот простыней логов - шквал.

Да никак это не сделать на твоей стороне.
Только на стороне провайдера.
Ты никак не ограничишь канал неудачных соединений.
Как вариант - portsentry

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Помогите прикрыть SSH" 
Сообщение от Name Искать по авторуВ закладки on 30-Ноя-04, 14:42  (MSK)
>Да нет никаких других пользователей, только мой вход и все. Яж говорю,
>надоели целые рулоны логов, где всякие уроды пытаются подобрать пароль к
>левым входам. Понятное дело фиг что у них выйдет, просто канал
>у меня чахлый и таких экстремалов сразу хотелось бы пускать в
>отлуп на файрволе.
>За день таких подборов может быть штук 5-6 с разных ip, а
>вот простыней логов - шквал.

Да никак это не сделать на твоей стороне.
Только на стороне провайдера.
Ты никак не ограничишь канал неудачных соединений.
Как вариант - portsentry. А демона поставь работать на нестандартный порт.
Тогда и 22 порт сразу в /dev/null перенаправляй.:)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Помогите прикрыть SSH" 
Сообщение от Moralez emailИскать по авторуВ закладки(??) on 04-Дек-04, 19:33  (MSK)
что-то на эту тему:

MaxStartups 5:50:10  

# после 5 неправильных регистраций,
# отторгать 50% новых подключений, и
# не отвечать совсем, если число
# неправильных регистраций превысило 10


сам не пробовал... :)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Помогите прикрыть SSH" 
Сообщение от BigElph emailИскать по авторуВ закладки on 06-Дек-04, 08:44  (MSK)
>что-то на эту тему:
>
>MaxStartups 5:50:10
>
> # после 5 неправильных регистраций,
> # отторгать 50% новых подключений, и
> # не отвечать совсем, если число
> # неправильных регистраций превысило 10
>
>
>сам не пробовал... :)

Я бы тоже не решился :)))
Хотя честно говоря банальная смена порта с 22 на сильно больший решила проблему... Ломиться перестали, точнее говоря ломиться больше не на что :)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Помогите прикрыть SSH" 
Сообщение от GateKeeper Искать по авторуВ закладки(??) on 09-Янв-05, 10:06  (MSK)
>Я бы тоже не решился :)))
>Хотя честно говоря банальная смена порта с 22 на сильно больший решила
>проблему... Ломиться перестали, точнее говоря ломиться больше не на что :)
>
А еще я бы Вам посоветовал сменить политику логина на via-private/public key. И запретить в таком случае вообще интерактивный логин (ведь Вас не слишком покоробит необходимость носить с собой приватный ключ на флешке на случай необходимости зайти на шлюз с компа друга?).
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Помогите прикрыть SSH" 
Сообщение от vlad11 emailИскать по авторуВ закладки(ok) on 10-Янв-05, 21:22  (MSK)
>В последнее время очень часто в логах видится усиленная долбежка моего ssh
>на предмет подбора паролей. В связи с этим хотел спросить помощи.
>Суть - по ssh я вхожу только с одного определенного логина,
>к примеру admin. Хочу - придумать скрипт, чтоб на всех тех,
>кто пытается подобрать root и прочие левые аккаунты сразу заводился отлуп
>в ipfw.
>Тоесть зашли не под тем именем и сразу в ipfw add deny...
>
>
>Как бы это сделать?

на своей Фряхе я сделал конфиг /etc/ssh/sshd_config

RSAAuthentication yes                                                                                                  
PermitRootLogin yes                                                                                                    
PermitEmptyPasswords yes                                                                                                
PasswordAuthentication yes                                                                                              
AllowGroups wheel                                                                                                      
AllowUsers _superuser_

а еще лучше повесить ssh на нестандартный порт...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру