защита доступа к sshd.

[mastertron]

Хотел обойтись без удаленного доступа, но ... Нужна защита от хулиганов.
С линуксом (iptables) вариантов много, крути-верти, а вот с PF так не поиграешь.
Пробовал portsentry, чет не очень хочет работать, под опен ругается, просит запустить только либо -tcp, либо -udp.
Да и не совсем то, что хотелось бы.
Народ, дайте совет, как отсечь аболтусов и роботов. Засунуть IP в таблицу PF не проблема, как его проанализировать.
Хотелось бы - запуск скрипта и передача в него IP после н-ной неудачной попытки залогинится.
Или с одного IP только два новых коннекта в течении часа, ну что-то типа ...
Постоянно сканить лог? Может есть что по толковее?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Fioktist]

тут URL я первый раз с этим познакомился

а тут URL тоже изящно расписано

Очищаем таблицу раз в час, по крону :
59 * * * * root/sbin/pfctl -t BRUTEFORCERS -T expire 86400

а это в крон и время поставь как тебе надо

тут под URL уже есть

# правила для внешнего интерфейса
# аккуратненько открываем ssh снаружи, те кто брутфорсят станут "плохими парнями" и буду занесены в черный список
pass quick inet proto tcp to port ssh tagged in_ext flags S/SA modulate state (max-src-conn 5, max-src-conn-rate 5/60, overload <badhosts> flush)

[paradox]

Хотелось бы - запуск скрипта и передача в него IP после н-ной неудачной попытки залогинится.
Или с одного IP только два новых коннекта в течении часа, ну что-то типа ...

ident
или как там он называеться
подскажите кто помнит

[helloworld]

Как всё сложно

Посмотрите в сторону denyhosts.

[mastertron]

denyhosts? Но у меня нет постоянного IP с которого я должен получять доступ, к томуже он сработает после ответа системы на запрос доступа к сервису, а идея (желание) в том, чтоб резать "пулеметный огонь на подступах".

тут URL я первый раз с этим познакомился

Спасибо, но не увидел желаемого. Как понял, речь идет об отслеживании (логировании), а эрекция на попытку ?
Остальное еще изучаю, спасибо.

[Fioktist]

дубль
а тут URL тоже изящно расписано
убери только queue ( qssh, qack ) если файервол без шейпера

# ssh для локальных юзеров

Код: Выделить всё

pass in on $int_if proto tcp from $int_if:network to $int_if port ssh \ 
 queue ( qssh, qack ) synproxy state ( max-src-conn-rate 1/60, \ 
  overload <BRUTEFORCERS> flush global )

# и для пользователей с инета

Код: Выделить всё

pass in on $ext_if  proto tcp from any to $ext_if port ssh \
 queue ( qssh, qack ) synproxy state ( max-src-conn-rate 1/60, \ 
  overload <BRUTEFORCERS> flush global )

# synproxy защищает наш сервис ssh от DoS атак, благодаря тому, что
# сначала САМ устанавливает соединение
# (не допуская полуоткрытых состояний),
# а потом передает установленное соединение сервису.
# Имеет немного бОльшие накладные расходы по сравнению с keep

# max-src-conn-rate numer/time interval
# позволяет применить определенные действия
# к превысившим ограничение по количеству подключений
# за единицу времени. Здесь я указал максимум 1 подключение
# за 60 секунд. Все превысившие это ограничение заносятся в таблицу
# BRUTEFORCERS и с ними разрываются (flush) установленные
# соединения по всем (global) портам. Обратитие внимание, что
# 1/60 -- очень агрессивная настройка. Не попадитесь под нее сами.
# В Вашем случае 5/300 возможно будет более актуальным.

Очищаем таблицу раз в час, по крону :

Код: Выделить всё

59 * * * * root/sbin/pfctl -t BRUTEFORCERS -T expire 86400

а это в крон и время поставь как тебе надо

поверь все вышеописанное в pf работает как часы, хоть на опенке хоть на фрее

также можно и веб сервер "защищать"

# Правило: пропускаем трафик вебсервера ------------------------------

Код: Выделить всё

pass in on $if inet proto tcp from any to $if port www \
     flags S/SA synproxy state \
     (source-track rule, max-src-states 96, max-src-conn 48, max-src-conn-rate 48/60, overload <abusive> flush)

[skeletor]

Попробуй вот это (каждая софтина хороша по себе)

sshguard-pf
sshit
fail2ban

[mastertron]

Fioktist спасибо. Я даже и не подозревал о таких возможностях, я ЗНАЛ что в опене - все в порядке.
Работает отлично. Знакомился с PF по статье, в которой описано все скудненько, наверняка там есть еще "штучки".
Если есть что для развития, ткните пож.
Даже както неудобно, разжевали и в рот положили

skeletor, спасибо за наводку, пощупаю.

Работой функциональностью PF полностью удовлетворен!!!

[fox_12]

Вот еще эту утилитку стоит глянуть:
http://blocksshd.sourceforge.net/

[Anton.M]

как всё сложно...
Конечно параноя это хорошо, но в большинстве случаев достаточно перевесить sshd на другой порт и запретить логин для рута по ssh
+ и если хочется задать список логинов, которые могут логиниться по ssh...
Кроме того в самом sshd есть средства защиты от DDOS'a (MaxStartups) и bruteforce (MaxAuthTries)
Хотя для особо тяжелых случаев выше написали кучу примочек