Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-04 12:30:49
Сначала пробовал скрипт от сюда:
http://www.lissyara.su/articles/freebsd ... y_aspects/
логи он успешно переносит ошибок не выдает, но и в ipfw не чего не заносит. Копался со скриптом вроде как я понял у меня не отрабатывает uniq -c. Но не нашел какой нужно установить порт для него.
Вручную например заношу правило:
Код: Выделить всё
ipfw add 1 deny ip from 192.168.1.5 to me
00001 deny ip from 192.168.1.5 to me
Все работает. А вот с этим скриптом не разберусь.
chipset
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Непрочитанное сообщение
FreeBSP » 2012-09-04 12:57:04
во-первых, uniq а не inic
во-вторых? есть уже куча готовых средств, например sshit, bruteblock... я пользуюсь последним
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
FreeBSP
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2012-09-04 13:07:11
А я последнее время, года 3-и, файером стал пользоваться, поскольку ip-адреса с которых хожу известны..
snorlov
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-04 13:23:57
Пробую все же разобраться с скриптом. Сейчас сделал его проще для тестов:
Код: Выделить всё
#!/bin/sh
# Вначале отлавливаем IP с которых пытаются залогинится
# под несуществующими пользователями
cat /var/log/auth.log | \
grep Invalid | awk '{print $10}' | sort | uniq -c | sort
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 10 ]
then
#echo "IP address = ${IP} deny count = ${count_deny}"
/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
fi
done
}
Запускаю:
И на этом он висит. ip выдернут нужный требуется его добавить в фаер да и все
chipset
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-04 13:34:04
Поставил | после sort скрипт молча выполнился но в фаерволе пусто
chipset
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-04 14:06:47
Код: Выделить всё
# Вначале отлавливаем IP с которых пытаются залогинится
# под несуществующими пользователями
cat /tm/log/auth.log | \
grep Invalid | awk '{print $10}' | sort | uniq -c | sort |
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 10 ]
echo "IP address = ${IP} deny count = ${count_deny}"
/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
then
fi
done
}
Так заработало. Ну все таки защита не очень понравилась было просто интересно почему не работает.
http://freebsd.km.ua/archives/1215 Наверное вот это буду пробовать.
chipset
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2012-09-04 14:34:12
sshit поставь и не дергайся, впрочем, если хочешь разобраться со скриптами, то флаг в руки...
snorlov
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-04 14:37:05
Настроил bruteblock. Все работает. Делал как тут:
http://freebsd.km.ua/archives/1215
Вопрос как смотреть забаненных? Тут не чего не видно
Код: Выделить всё
ipfw show
00005 14 1360 deny ip from table(1) to me dst-port 22
Я пока нашел только так:
Но это не удобно если список длинный. Да и не видно будет наверн после очищения таблицы.
И посоветуйте какие параметры лучше задать max_count, within_time, reset_ip
Пойдут такие параметры или лучше какие то другие max_count=3 within_time=300 reset_ip = 86400 (сутки тоесть)
chipset
-
FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Непрочитанное сообщение
FreeBSP » 2012-09-04 14:55:32
ipfw show table 1
или
ipfw list table 1
чтото из этого
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
FreeBSP
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-04 15:29:58
Код: Выделить всё
#ipfw show
00005 14 1360 deny ip from table(1) to me dst-port 22
Код: Выделить всё
ipfw show table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist
Код: Выделить всё
#ipfw list table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist
chipset
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-04 15:35:33
Таких команд просто нет что вы советовали.
Правильно так:
Ну а команды:
Тоже нету. Да и наверное не к чему она.
chipset
-
abi
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2012-08-29 19:48:28
Непрочитанное сообщение
abi » 2012-09-04 15:41:34
Лучшая защита от брута - отключить аутентификацию по паролю и нарезать нужным людям RSA-ключи.
Правила для файрвола - это защита от распухания логов.
abi
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-04 15:46:03
И последний вопрос. Я так понимаю если будет брут идти с сменой ip через две попытки, а блок у меня после 3 неверных. То я как понял блокировки не будет. И есть ли еще какие тонкости. ssh я разрешил одному пользователю root запрещен. Наверное стоит и порт сменить с стандартного. Хотя думаю нет смысла порты просканить не так долго будет.
C RSA-ключами согласен. Но проблема в том что требуется иногда зайти что то глянуть и с мобилы стоит андроид. Как сделать там ключ я даже не знаю. Или к примеру может понадобится не со своего компа доступ. Хотя тоже есть вариант таскать ключ на флешке.
chipset
-
abi
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2012-08-29 19:48:28
Непрочитанное сообщение
abi » 2012-09-04 15:58:11
А там и не надо делать ключ. Ключ делается на сервере один раз. А потом импортируется куда надо/кладётся на флешку. У Андроидов есть SSH клиент ConnectBot, он должен поддерживать.
abi
-
Shuba
- ст. сержант
- Сообщения: 365
- Зарегистрирован: 2008-03-25 10:58:21
- Откуда: Минск
-
Контактная информация:
Непрочитанное сообщение
Shuba » 2012-09-04 16:18:35
chipset писал(а):Код: Выделить всё
#ipfw show
00005 14 1360 deny ip from table(1) to me dst-port 22
Код: Выделить всё
ipfw show table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist
Код: Выделить всё
#ipfw list table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist
Сила ночи, сила дня - одинакова фигня!
Shuba
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2012-09-04 16:24:21
chipset писал(а):И последний вопрос. Я так понимаю если будет брут идти с сменой ip через две попытки, а блок у меня после 3 неверных.
Как ты понимаешь смену ip, это тебе не локальная сеть где можно быстро и непринужденно, да и время можно поставить часа 3-и не больше и вообще у меня мнение, что этим школота занимается...
snorlov
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Непрочитанное сообщение
sadchok » 2012-09-05 7:55:51
snorlov писал(а):
Как ты понимаешь смену ip, это тебе не локальная сеть где можно быстро и непринужденно, да и время можно поставить часа 3-и не больше и вообще у меня мнение, что этим школота занимается...
Этим занимаются вполне адекватные люди.
Посмотри в инете продажу ssh логинов от сломанных серверов.
Доступ по ssh (даже непривилегированный) это как минимум удаленный прокси сервер.
А смена IP происходит при переподключении по DSL если у тя динамический IP.
The brain can not be found. Runs the software emulation
sadchok
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Непрочитанное сообщение
sadchok » 2012-09-05 8:08:49
Я использую DenyHosts с RSA-ключами.
После того как разрешил DenyHosts подгружать списки IP из инета, стало намного меньше валить писем руту о блокировке
The brain can not be found. Runs the software emulation
sadchok
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-05 8:32:24
sadchok писал(а):snorlov писал(а):
Как ты понимаешь смену ip, это тебе не локальная сеть где можно быстро и непринужденно, да и время можно поставить часа 3-и не больше и вообще у меня мнение, что этим школота занимается...
Этим занимаются вполне адекватные люди.
Посмотри в инете продажу ssh логинов от сломанных серверов.
Доступ по ssh (даже непривилегированный) это как минимум удаленный прокси сервер.
А смена IP происходит при переподключении по DSL если у тя динамический IP.
Не ну смена ip несколько раз в минуту это не может быть перезагрузка DSL динамический ip может и не сменится. Это уш скорее перебор одновременно с нескольких машин. А то что это вполне адекватные люди согласен.
chipset
-
bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
-
Контактная информация:
Непрочитанное сообщение
bagas » 2012-09-06 9:47:40
я маниторю ssh авторизации скриптом.
маниторинг ssh
а обезопасиваю я с помощью fail2ban.
bagas
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-06 11:09:16
Код: Выделить всё
Sep 6 10:26:55 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:00 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:04 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:08 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:13 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:17 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:21 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:26 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:30 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:34 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:39 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:43 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:48 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:55 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:03 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:08 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:12 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:16 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:20 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:25 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:30 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:37 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Код: Выделить всё
ipfw table 1 list
124.192.161.179/32 1346923574
Че он его блочит по сто раз не пойму ip тот же.
chipset
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-06 11:20:15
А все понял само правило:
Код: Выделить всё
ipfw add 5 deny all from table\(1\) to me 22
Я не добавил в скрипт. И после перезагрузки оно исчезло вот и ломился он столько раз.
chipset
-
Призрак
- рядовой
- Сообщения: 33
- Зарегистрирован: 2012-09-10 10:07:57
Непрочитанное сообщение
Призрак » 2012-09-10 13:02:46
Хоть и давно была тема поднята, на всякий случай посоветую - ставь Fail2Ban этим ты не только SSH обезопасишь но и многие другие сервисы. Fail2Ban читает журналы, и если находит совпадения по своим правилам кидает IP адрес в бан. Если хочешь напишу как устанавливать и настраивать (для ipfw могу более подробно описать).
Призрак
-
chipset
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Непрочитанное сообщение
chipset » 2012-09-11 7:37:48
К чему ставить еще что то? Вроде все устраивает. А другие сервисы это какие?
chipset