форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите прикрыть SSH"
Сообщение от BigElph on 22-Ноя-04, 18:38  (MSK)
В последнее время очень часто в логах видится усиленная долбежка моего ssh на предмет подбора паролей. В связи с этим хотел спросить помощи. Суть - по ssh я вхожу только с одного определенного логина, к примеру admin. Хочу - придумать скрипт, чтоб на всех тех, кто пытается подобрать root и прочие левые аккаунты сразу заводился отлуп в ipfw. Тоесть зашли не под тем именем и сразу в ipfw add deny... Как бы это сделать?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите прикрыть SSH"
Сообщение от shadow (??) on 23-Ноя-04, 12:38  (MSK)
напиши анализатор для логов perl думаю подойдет и пропиши в нем правила для ipfw
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите прикрыть SSH"
Сообщение от APta (ok) on 23-Ноя-04, 12:51  (MSK)
>В последнее время очень часто в логах видится усиленная долбежка моего >Как бы это сделать? А заходишь как, через локалку или через инет. Если через локалку то в ipfw add deny from any to any 22 via (внешний интерфес)
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Помогите прикрыть SSH"
	Сообщение от BigElph on 23-Ноя-04, 13:57  (MSK)
	>>В последнее время очень часто в логах видится усиленная долбежка моего >>Как бы это сделать? > >А заходишь как, через локалку или через инет. >Если через локалку то в ipfw add deny from any to any >22 via (внешний интерфес) Да если б только через локалку, вопросов не было бы. Захожу с диалапа, ip постоянно разные.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Помогите прикрыть SSH"
	Сообщение от fantom (??) on 23-Ноя-04, 14:27  (MSK)
	>>>В последнее время очень часто в логах видится усиленная долбежка моего >>>Как бы это сделать? >> >>А заходишь как, через локалку или через инет. >>Если через локалку то в ipfw add deny from any to any >>22 via (внешний интерфес) > >Да если б только через локалку, вопросов не было бы. Захожу с >диалапа, ip постоянно разные. Укажи диапазон IP с которых входить можно
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Помогите прикрыть SSH"
	Сообщение от BigElph on 23-Ноя-04, 17:47  (MSK)
	>>>>В последнее время очень часто в логах видится усиленная долбежка моего >>>>Как бы это сделать? >>> >>>А заходишь как, через локалку или через инет. >>>Если через локалку то в ipfw add deny from any to any >>>22 via (внешний интерфес) >> >>Да если б только через локалку, вопросов не было бы. Захожу с >>диалапа, ip постоянно разные. > > >Укажи диапазон IP с которых входить можно Чем ограничиться? Может сразу всю Россию? И как вообще это вы себе представляете? Я могу зайти с одного из двух-трех тысяч ip одного прова, могу с другого, а могу вообще произвольно если надо будет по-быстрому влезть к себе в сеть.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Помогите прикрыть SSH"
	Сообщение от glyuk on 25-Ноя-04, 05:48  (MSK)
	запрети root'у локальный вход вообще - и пусть долбят до посинения, сам входи через суидный логин и потом становись рутом через su
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Помогите прикрыть SSH"
	Сообщение от BigElph on 25-Ноя-04, 17:22  (MSK)
	>запрети root'у локальный вход вообще - и пусть долбят до посинения, сам >входи через суидный логин и потом становись рутом через su Что, на эту тему стоит флаг глупых ответов? Я не пользуюсь рутом, не идиот, но те, кто мне туда долбят совсем не нравятся и напрочь не нужны.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Помогите прикрыть SSH"
	Сообщение от Beginner (??) on 26-Ноя-04, 13:08  (MSK)
	>>запрети root'у локальный вход вообще - и пусть долбят до посинения, сам >>входи через суидный логин и потом становись рутом через su > >Что, на эту тему стоит флаг глупых ответов? >Я не пользуюсь рутом, не идиот, но те, кто мне туда долбят >совсем не нравятся и напрочь не нужны. А ты отписывай всем следящим за сетями, может и меньше станут долбиться, лет через 200. Если не хочешь чтоб долбились - отключайся от инета
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Помогите прикрыть SSH"
Сообщение от nide on 26-Ноя-04, 00:34  (MSK)
а ssh только тобой используется? можно включать его только тогда когда он те нужен(неоспоримая логика:)) заведи нового пользователя в системе, при входе которого в систему включается sshd(назначь ему шеллом /etc/rc.d/sshd_start_script)
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Помогите прикрыть SSH"
	Сообщение от tot (??) on 30-Ноя-04, 13:09  (MSK)
	>а ssh только тобой используется? >можно включать его только тогда когда он те нужен(неоспоримая логика:)) заведи нового >пользователя в системе, при входе которого в систему включается sshd(назначь ему >шеллом /etc/rc.d/sshd_start_script) а запретить всем кроме своей учетной записи вход не пробовал? ну и меняй пароль раз в три дня/часа! может и глупо конечно, но... файл /etc/ssh/sshd_config добавь в него строчку AllowUsers  my_name в my_name твоя запись на вход
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Помогите прикрыть SSH"
	Сообщение от BigElph on 30-Ноя-04, 13:23  (MSK)
	>>а ssh только тобой используется? >>можно включать его только тогда когда он те нужен(неоспоримая логика:)) заведи нового >>пользователя в системе, при входе которого в систему включается sshd(назначь ему >>шеллом /etc/rc.d/sshd_start_script) >а запретить всем кроме своей учетной записи вход не пробовал? >ну и меняй пароль раз в три дня/часа! >может и глупо конечно, но... >файл /etc/ssh/sshd_config > >добавь в него строчку AllowUsers  my_name > >в my_name твоя запись на вход Да нет никаких других пользователей, только мой вход и все. Яж говорю, надоели целые рулоны логов, где всякие уроды пытаются подобрать пароль к левым входам. Понятное дело фиг что у них выйдет, просто канал у меня чахлый и таких экстремалов сразу хотелось бы пускать в отлуп на файрволе. За день таких подборов может быть штук 5-6 с разных ip, а вот простыней логов - шквал.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Помогите прикрыть SSH"
	Сообщение от Name on 30-Ноя-04, 14:40  (MSK)
	>Да нет никаких других пользователей, только мой вход и все. Яж говорю, >надоели целые рулоны логов, где всякие уроды пытаются подобрать пароль к >левым входам. Понятное дело фиг что у них выйдет, просто канал >у меня чахлый и таких экстремалов сразу хотелось бы пускать в >отлуп на файрволе. >За день таких подборов может быть штук 5-6 с разных ip, а >вот простыней логов - шквал. Да никак это не сделать на твоей стороне. Только на стороне провайдера. Ты никак не ограничишь канал неудачных соединений. Как вариант - portsentry
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Помогите прикрыть SSH"
	Сообщение от Name on 30-Ноя-04, 14:42  (MSK)
	>Да нет никаких других пользователей, только мой вход и все. Яж говорю, >надоели целые рулоны логов, где всякие уроды пытаются подобрать пароль к >левым входам. Понятное дело фиг что у них выйдет, просто канал >у меня чахлый и таких экстремалов сразу хотелось бы пускать в >отлуп на файрволе. >За день таких подборов может быть штук 5-6 с разных ip, а >вот простыней логов - шквал. Да никак это не сделать на твоей стороне. Только на стороне провайдера. Ты никак не ограничишь канал неудачных соединений. Как вариант - portsentry. А демона поставь работать на нестандартный порт. Тогда и 22 порт сразу в /dev/null перенаправляй.:)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Помогите прикрыть SSH"
	Сообщение от Moralez (??) on 04-Дек-04, 19:33  (MSK)
	что-то на эту тему: MaxStartups 5:50:10   # после 5 неправильных регистраций, # отторгать 50% новых подключений, и # не отвечать совсем, если число # неправильных регистраций превысило 10 сам не пробовал... :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Помогите прикрыть SSH"
	Сообщение от BigElph on 06-Дек-04, 08:44  (MSK)
	>что-то на эту тему: > >MaxStartups 5:50:10 > > # после 5 неправильных регистраций, > # отторгать 50% новых подключений, и > # не отвечать совсем, если число > # неправильных регистраций превысило 10 > > >сам не пробовал... :) Я бы тоже не решился :))) Хотя честно говоря банальная смена порта с 22 на сильно больший решила проблему... Ломиться перестали, точнее говоря ломиться больше не на что :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Помогите прикрыть SSH"
	Сообщение от GateKeeper (??) on 09-Янв-05, 10:06  (MSK)
	>Я бы тоже не решился :))) >Хотя честно говоря банальная смена порта с 22 на сильно больший решила >проблему... Ломиться перестали, точнее говоря ломиться больше не на что :) > А еще я бы Вам посоветовал сменить политику логина на via-private/public key. И запретить в таком случае вообще интерактивный логин (ведь Вас не слишком покоробит необходимость носить с собой приватный ключ на флешке на случай необходимости зайти на шлюз с компа друга?).
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Помогите прикрыть SSH"
Сообщение от vlad11 (ok) on 10-Янв-05, 21:22  (MSK)
>В последнее время очень часто в логах видится усиленная долбежка моего ssh >на предмет подбора паролей. В связи с этим хотел спросить помощи. >Суть - по ssh я вхожу только с одного определенного логина, >к примеру admin. Хочу - придумать скрипт, чтоб на всех тех, >кто пытается подобрать root и прочие левые аккаунты сразу заводился отлуп >в ipfw. >Тоесть зашли не под тем именем и сразу в ipfw add deny... > > >Как бы это сделать? на своей Фряхе я сделал конфиг /etc/ssh/sshd_config RSAAuthentication yes                                                                                                   PermitRootLogin yes                                                                                                     PermitEmptyPasswords yes                                                                                                 PasswordAuthentication yes                                                                                               AllowGroups wheel                                                                                                       AllowUsers _superuser_ а еще лучше повесить ssh на нестандартный порт...
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.