Вопрос защиты.

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
kmihas
рядовой
Сообщения: 12
Зарегистрирован: 2008-04-08 9:08:33

Re: Вопрос защиты.

Непрочитанное сообщение kmihas » 2010-04-04 20:43:21

skorin писал(а):т.к. приходиться часто соеденяться с сервером из разных мест и чаще всего через Windows.
напрасно .. knockd элементарно настраивается и из под Win соединиться вообще не проблема ..
это только парочка реализаций, если порыться можно еще кучку найти, один раз на флэшку кинул
и готово, соединяйся откуда угодно .. а ну да, еще putty докинуть, портабельную версию :)
Вложения
WinKnock.rar
(80.84 КБ) 64 скачивания
knock-cygwin.zip
(4.46 КБ) 63 скачивания

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

fly
рядовой
Сообщения: 41
Зарегистрирован: 2008-10-03 13:41:59

Re: Вопрос защиты.

Непрочитанное сообщение fly » 2010-05-24 4:38:59

Перепробывал все что перечислено.
Есть такой прикол - в системе вместо syslog крутится rsyslog и все эти системы никак не хотят понимать что происходи. Не происходит никакого блокирования и т.п. как будто не видят этих "неправильных" логинов. Если меняю на Syslog то все путем. А нужен именно rsyslog. В чем может быть загвоздка? что то еще кудато надо перенаправить?

Аватара пользователя
maluy
ефрейтор
Сообщения: 58
Зарегистрирован: 2007-04-19 23:59:13
Откуда: Украина
Контактная информация:

Re: Вопрос защиты.

Непрочитанное сообщение maluy » 2010-09-21 16:22:46

Прбую поднять sshit на одном шлюзе, вот что бросает в логи:

Код: Выделить всё

Sep 21 19:17:41 gw-ular sshd[1667]: Invalid user khsdfjk from 192.168.1.8
Sep 21 19:17:41 gw-ular sshit: sshit started. using ipfw2
Sep 21 19:17:41 gw-ular syslogd: Logging subprocess 1669 (exec /usr/local/sbin/sshit) exited due to signal 12.
Sep 21 19:17:41 gw-ular kernel: pid 1669 (perl), uid 0: exited on signal 12
Sep 21 19:17:41 gw-ular kernel: Sep 21 19:17:41 gw-ular kernel: pid 1669 (perl), uid 0: exited on signal 12
Sep 21 19:17:42 gw-ular sshd[1667]: error: PAM: authentication error for illegal user khsdfjk from 192.168.1.8
Sep 21 19:17:42 gw-ular kernel: Sep 21 19:17:42 gw-ular sshd[1667]: error: PAM: authentication error for illegal user khsdfjk from 192.168.1.8
Sep 21 19:17:42 gw-ular sshd[1667]: Failed keyboard-interactive/pam for invalid user khsdfjk from 192.168.1.8 port 64243 ssh2
Sep 21 19:17:42 gw-ular sshit: sshit started. using ipfw2
Sep 21 19:17:42 gw-ular syslogd: Logging subprocess 1672 (exec /usr/local/sbin/sshit) exited due to signal 12.
Sep 21 19:17:42 gw-ular kernel: pid 1672 (perl), uid 0: exited on signal 12
Sep 21 19:17:42 gw-ular kernel: Sep 21 19:17:42 gw-ular kernel: pid 1672 (perl), uid 0: exited on signal 12
Sep 21 19:17:43 gw-ular sshd[1667]: error: PAM: authentication error for illegal user khsdfjk from 192.168.1.8
Sep 21 19:17:43 gw-ular kernel: Sep 21 19:17:43 gw-ular sshd[1667]: error: PAM: authentication error for illegal user khsdfjk from 192.168.1.8
Sep 21 19:17:43 gw-ular sshd[1667]: Failed keyboard-interactive/pam for invalid user khsdfjk from 192.168.1.8 port 64243 ssh2

Код: Выделить всё

FreeBSD gw-ular.ular.lviv.ua 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Tue Sep 21 13:12:56 EEST 2010     admin@gw-ular.ular.lviv.ua:/usr/obj/usr/src/sys/gw-ular  i386

Аватара пользователя
dz
проходил мимо
Сообщения: 1
Зарегистрирован: 2010-12-15 12:21:36

Re: Вопрос защиты.

Непрочитанное сообщение dz » 2010-12-22 11:28:38

Тема хоть и старая, но подтверждаю sshit начал снимать блокировку после того как убил его процессы 8.1-RELEASE.
May the source be with you!!!

Аватара пользователя
setevoy
рядовой
Сообщения: 21
Зарегистрирован: 2011-11-17 18:27:35
Откуда: Kiev
Контактная информация:

Re: Вопрос защиты.

Непрочитанное сообщение setevoy » 2012-01-20 15:41:52

Подниму тему ещё раз, что бы не создавать новую.

Есть установленный и настроенынй sshit.
Он работает (пока!) как надо, кроме одного - заносит правило блокировки после первой же неудачной попытки, хотя в конфиге ему указано:

Код: Выделить всё

MAX_COUNT       = 3
WITHIN_TIME     = 60
Что я делаю не так?

zerofx
рядовой
Сообщения: 31
Зарегистрирован: 2009-08-30 9:27:18

Re: Вопрос защиты.

Непрочитанное сообщение zerofx » 2012-12-24 15:59:26

добрый день. может я не туда пишу, работаю с bruteblock - для блокировки подбора логин + пароль к sshd, но недавно произошел инцедент который немножко меня озадачил, а сама суть вот в чем, может кто знает как те кто подбирает логин + пароль sshd - после обнаружения и блокировки (у меня их блокирует, и бросает в таблицу - ipfw) продолжают подбор, хотя по логике вещей их должно бросать в бан ... у меня такое первый раз, до этого все работало без проблем

Код: Выделить всё

[b]Dec 22 23:06:08 bsdsys sshd[4915]: Invalid user ____ from 212.54.150.27
Dec 23 04:07:34 bsdsys sshd[7359]: Invalid user admin from 209.200.252.108
Dec 23 04:07:37 bsdsys sshd[7362]: Invalid user admin from 209.200.252.108
Dec 23 04:07:37 bsdsys bruteblock[7361]: Adding 209.200.252.108 to the ipfw table 1[/b]

Код: Выделить всё

Dec 23 23:40:28 bsdsys sshd[17358]: Invalid user oracle from 31.210.120.6
Dec 23 23:40:30 bsdsys sshd[17360]: Invalid user test from 31.210.120.6
[b][u]Dec 23 23:40:30 bsdsys bruteblock[13560]: Adding 31.210.120.6 to the ipfw table 1[/u][/b]
Dec 23 23:40:41 bsdsys sshd[17393]: Invalid user teamspeak from 31.210.120.6
Dec 23 23:40:41 bsdsys bruteblock[13560]: Blocking failed for 31.210.120.6
Dec 23 23:40:43 bsdsys sshd[17395]: Invalid user teamspeak from 31.210.120.6
Dec 23 23:40:43 bsdsys bruteblock[13560]: Blocking failed for 31.210.120.6
Dec 23 23:40:44 bsdsys sshd[17397]: Invalid user nagios from 31.210.120.6
Dec 23 23:40:44 bsdsys bruteblock[13560]: Blocking failed for 31.210.120.6
[b][u]Dec 23 23:40:46 bsdsys sshd[17399]: Invalid user postgres from 31.210.120.6
Dec 23 23:40:46 bsdsys bruteblock[13560]: Blocking failed for 31.210.120.6[/u][/b]

mak_v_
проходил мимо

Re: Вопрос защиты.

Непрочитанное сообщение mak_v_ » 2012-12-24 17:10:20

Скорее всего разрешающие или keep-state правила срабатывают раньше правил блокировки

Аватара пользователя
QweЯty
лейтенант
Сообщения: 795
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: Вопрос защиты.

Непрочитанное сообщение QweЯty » 2013-02-12 21:28:15

не подскажите, почему не блокирует ip?
pf стоит.

Код: Выделить всё

root@:/var/log # cat /etc/pf.conf
ext_if = "tun0"
int_if = "rl0"
tcp_services = "{ 22 }"

nat on $ext_if from $int_if:network to any -> ($ext_if)

block all
table <badhosts> persist
block on $ext_if from <badhosts> to any

pass quick proto igmp to any allow-opts
pass in on $int_if proto udp to 239.0.0.0/8

pass in on $int_if from any to any
pass out on $ext_if from $ext_if to any
pass in on $ext_if proto tcp from any to $ext_if port $tcp_services
pass in inet proto icmp all icmp-type echoreq
root@:/var/log # cat /usr/local/etc/sshit.conf | grep pf
# We use pf as firewall on default
FIREWALL_TYPE = pf
IPFW_CMD = /sbin/ipfw
IPFW2_CMD = /sbin/ipfw
PFCTL_CMD = /sbin/pfctl
root@:/var/log # cat /etc/rc.conf | grep pf
pf_enable="YES"
pflog_enable="YES"
pf_rules="/etc/pf.conf"
pf_program="/sbin/pfctl"
pf_flags=""
логи:
Feb 12 01:13:29 sshd[1777]: Invalid user haqr from 114.66.192.86
Feb 12 01:13:29 sshit: block for 114.66.192.86 not working!
Feb 12 01:13:32 sshd[1779]: Invalid user haqr from 114.66.192.86
Feb 12 01:13:32 sshit: block for 114.66.192.86 not working!
Feb 12 01:13:35 sshd[1781]: Invalid user viswanathb from 114.66.192.86
Feb 12 01:13:35 sshit: block for 114.66.192.86 not working!
Feb 12 01:13:41 sshd[1785]: Invalid user mohammeda from 114.66.192.86
Feb 12 01:13:41 sshit: block for 114.66.192.86 not working!
Feb 12 01:13:44 sshd[1787]: Invalid user josej from 114.66.192.86
Feb 12 01:13:44 sshit: block for 114.66.192.86 not working!
Feb 12 03:15:49 sshd[1257]: Received signal 15; terminating.
Feb 12 21:08:49 sshd[1252]: Server listening on :: port 22.
Feb 12 21:08:49 sshd[1252]: Server listening on 0.0.0.0 port 22.
Feb 12 21:18:32 sshd[1324]: Accepted publickey for radist from 10.10.220.5 port 1054 ssh2
вроде добавил все как по мануалу...
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение


Аватара пользователя
QweЯty
лейтенант
Сообщения: 795
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: Вопрос защиты.

Непрочитанное сообщение QweЯty » 2013-02-12 22:17:50

нужно ниже этого правила?
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
QweЯty
лейтенант
Сообщения: 795
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: Вопрос защиты.

Непрочитанное сообщение QweЯty » 2013-02-12 22:18:22

у меня pf грузится модулем.
пока не компилировал ядро с этим всем...
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

mak_v_
проходил мимо

Re: Вопрос защиты.

Непрочитанное сообщение mak_v_ » 2013-02-12 23:45:13

почитайте ман на предмет quick и как (в какой последовательности) обрабатываются правила в pf

Аватара пользователя
QweЯty
лейтенант
Сообщения: 795
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: Вопрос защиты.

Непрочитанное сообщение QweЯty » 2013-02-13 2:05:14

угумс, почитал, правда, немного, больше метод научного тыка помог :)
по маны читал :) честно честно..
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение