Посоветуйте защиту от брута ssh

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-04 12:30:49

Сначала пробовал скрипт от сюда: http://www.lissyara.su/articles/freebsd ... y_aspects/
логи он успешно переносит ошибок не выдает, но и в ipfw не чего не заносит. Копался со скриптом вроде как я понял у меня не отрабатывает uniq -c. Но не нашел какой нужно установить порт для него.

Код: Выделить всё

#iniq -c
iniq: Command not found.
Вручную например заношу правило:

Код: Выделить всё

ipfw add 1 deny ip from 192.168.1.5 to me
00001 deny ip from 192.168.1.5 to me
Все работает. А вот с этим скриптом не разберусь.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение FreeBSP » 2012-09-04 12:57:04

во-первых, uniq а не inic
во-вторых? есть уже куча готовых средств, например sshit, bruteblock... я пользуюсь последним
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

snorlov
подполковник
Сообщения: 3711
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение snorlov » 2012-09-04 13:07:11

А я последнее время, года 3-и, файером стал пользоваться, поскольку ip-адреса с которых хожу известны..

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-04 13:23:57

Пробую все же разобраться с скриптом. Сейчас сделал его проще для тестов:

Код: Выделить всё

#!/bin/sh

# Вначале отлавливаем IP с которых пытаются залогинится
# под несуществующими пользователями
cat /var/log/auth.log | \
grep Invalid | awk '{print $10}' | sort | uniq -c | sort
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 10 ]
then
#echo "IP address  = ${IP}      deny count =    ${count_deny}"
/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
fi
done
}
Запускаю:

Код: Выделить всё

#./blok.sh
   1 192.168.1.4
И на этом он висит. ip выдернут нужный требуется его добавить в фаер да и все

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-04 13:34:04

Поставил | после sort скрипт молча выполнился но в фаерволе пусто

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-04 14:06:47

Код: Выделить всё

# Вначале отлавливаем IP с которых пытаются залогинится
# под несуществующими пользователями
cat /tm/log/auth.log | \
grep Invalid | awk '{print $10}' | sort | uniq -c | sort |
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 10 ]
echo "IP address  = ${IP}      deny count =    ${count_deny}"
/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
then
fi
done
}
Так заработало. Ну все таки защита не очень понравилась было просто интересно почему не работает.

http://freebsd.km.ua/archives/1215 Наверное вот это буду пробовать.

snorlov
подполковник
Сообщения: 3711
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение snorlov » 2012-09-04 14:34:12

sshit поставь и не дергайся, впрочем, если хочешь разобраться со скриптами, то флаг в руки...

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-04 14:37:05

Настроил bruteblock. Все работает. Делал как тут: http://freebsd.km.ua/archives/1215
Вопрос как смотреть забаненных? Тут не чего не видно

Код: Выделить всё

ipfw show
00005    14    1360 deny ip from table(1) to me dst-port 22
Я пока нашел только так:

Код: Выделить всё

cat /var/log/auth.log | grep bruteblock
Но это не удобно если список длинный. Да и не видно будет наверн после очищения таблицы.
И посоветуйте какие параметры лучше задать max_count, within_time, reset_ip
Пойдут такие параметры или лучше какие то другие max_count=3 within_time=300 reset_ip = 86400 (сутки тоесть)

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение FreeBSP » 2012-09-04 14:55:32

ipfw show table 1
или
ipfw list table 1
чтото из этого
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-04 15:29:58

Код: Выделить всё

#ipfw show
00005    14    1360 deny ip from table(1) to me dst-port 22

Код: Выделить всё

ipfw show table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist

Код: Выделить всё

#ipfw list table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-04 15:35:33

Таких команд просто нет что вы советовали.
Правильно так:

Код: Выделить всё

ipfw table 1 list
Ну а команды:

Код: Выделить всё

ipfw table 1 show
Тоже нету. Да и наверное не к чему она.

abi
проходил мимо
Сообщения: 9
Зарегистрирован: 2012-08-29 19:48:28

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение abi » 2012-09-04 15:41:34

Лучшая защита от брута - отключить аутентификацию по паролю и нарезать нужным людям RSA-ключи.
Правила для файрвола - это защита от распухания логов.

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-04 15:46:03

И последний вопрос. Я так понимаю если будет брут идти с сменой ip через две попытки, а блок у меня после 3 неверных. То я как понял блокировки не будет. И есть ли еще какие тонкости. ssh я разрешил одному пользователю root запрещен. Наверное стоит и порт сменить с стандартного. Хотя думаю нет смысла порты просканить не так долго будет.
C RSA-ключами согласен. Но проблема в том что требуется иногда зайти что то глянуть и с мобилы стоит андроид. Как сделать там ключ я даже не знаю. Или к примеру может понадобится не со своего компа доступ. Хотя тоже есть вариант таскать ключ на флешке.

abi
проходил мимо
Сообщения: 9
Зарегистрирован: 2012-08-29 19:48:28

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение abi » 2012-09-04 15:58:11

А там и не надо делать ключ. Ключ делается на сервере один раз. А потом импортируется куда надо/кладётся на флешку. У Андроидов есть SSH клиент ConnectBot, он должен поддерживать.

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение Shuba » 2012-09-04 16:18:35

chipset писал(а):

Код: Выделить всё

#ipfw show
00005    14    1360 deny ip from table(1) to me dst-port 22

Код: Выделить всё

ipfw show table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist

Код: Выделить всё

#ipfw list table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist

Код: Выделить всё

ipfw table 1 list
Сила ночи, сила дня - одинакова фигня!

snorlov
подполковник
Сообщения: 3711
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение snorlov » 2012-09-04 16:24:21

chipset писал(а):И последний вопрос. Я так понимаю если будет брут идти с сменой ip через две попытки, а блок у меня после 3 неверных.
Как ты понимаешь смену ip, это тебе не локальная сеть где можно быстро и непринужденно, да и время можно поставить часа 3-и не больше и вообще у меня мнение, что этим школота занимается...

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-05 7:38:28

Ну порой наблюдаю идет брут и ip сразу разные проскакивают

Аватара пользователя
sadchok
сержант
Сообщения: 271
Зарегистрирован: 2011-10-13 10:40:54
Откуда: Алтайский край

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение sadchok » 2012-09-05 7:55:51

snorlov писал(а): Как ты понимаешь смену ip, это тебе не локальная сеть где можно быстро и непринужденно, да и время можно поставить часа 3-и не больше и вообще у меня мнение, что этим школота занимается...
Этим занимаются вполне адекватные люди.
Посмотри в инете продажу ssh логинов от сломанных серверов.
Доступ по ssh (даже непривилегированный) это как минимум удаленный прокси сервер.
А смена IP происходит при переподключении по DSL если у тя динамический IP.
The brain can not be found. Runs the software emulation

Аватара пользователя
sadchok
сержант
Сообщения: 271
Зарегистрирован: 2011-10-13 10:40:54
Откуда: Алтайский край

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение sadchok » 2012-09-05 8:08:49

Я использую DenyHosts с RSA-ключами.
После того как разрешил DenyHosts подгружать списки IP из инета, стало намного меньше валить писем руту о блокировке
The brain can not be found. Runs the software emulation

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-05 8:32:24

sadchok писал(а):
snorlov писал(а): Как ты понимаешь смену ip, это тебе не локальная сеть где можно быстро и непринужденно, да и время можно поставить часа 3-и не больше и вообще у меня мнение, что этим школота занимается...
Этим занимаются вполне адекватные люди.
Посмотри в инете продажу ssh логинов от сломанных серверов.
Доступ по ssh (даже непривилегированный) это как минимум удаленный прокси сервер.
А смена IP происходит при переподключении по DSL если у тя динамический IP.
Не ну смена ip несколько раз в минуту это не может быть перезагрузка DSL динамический ip может и не сменится. Это уш скорее перебор одновременно с нескольких машин. А то что это вполне адекватные люди согласен.

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение bagas » 2012-09-06 9:47:40

я маниторю ssh авторизации скриптом.
маниторинг ssh
а обезопасиваю я с помощью fail2ban.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-06 11:09:16

Код: Выделить всё

Sep  6 10:26:55 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:00 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:04 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:08 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:13 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:17 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:21 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:26 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:30 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:34 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:39 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:43 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:48 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:27:55 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:28:03 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:28:08 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:28:12 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:28:16 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:28:20 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:28:25 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:28:30 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep  6 10:28:37 bsd bruteblock[2534]: Blocking failed for 124.192.161.179

Код: Выделить всё

ipfw table 1 list
124.192.161.179/32 1346923574
Че он его блочит по сто раз не пойму ip тот же.

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-06 11:20:15

А все понял само правило:

Код: Выделить всё

ipfw add 5 deny all from table\(1\) to me 22
Я не добавил в скрипт. И после перезагрузки оно исчезло вот и ломился он столько раз.

Призрак
рядовой
Сообщения: 33
Зарегистрирован: 2012-09-10 10:07:57

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение Призрак » 2012-09-10 13:02:46

Хоть и давно была тема поднята, на всякий случай посоветую - ставь Fail2Ban этим ты не только SSH обезопасишь но и многие другие сервисы. Fail2Ban читает журналы, и если находит совпадения по своим правилам кидает IP адрес в бан. Если хочешь напишу как устанавливать и настраивать (для ipfw могу более подробно описать).

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: Посоветуйте защиту от брута ssh

Непрочитанное сообщение chipset » 2012-09-11 7:37:48

К чему ставить еще что то? Вроде все устраивает. А другие сервисы это какие?