Вопрос защиты.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- мл. сержант
- Сообщения: 82
- Зарегистрирован: 2007-08-01 16:23:02
- Контактная информация:
Вопрос защиты.
День добрый.
Интересует такой вопрос.
Возможно ли организовать следующие: как после 3ох неудачных попыток ввести логин(пароль), сервер банил человека(добавлял запрещающие правило для ip в ipfw) , пока рут не снимет запрет ?
Или же как обезопаситься от перебора логина ? Может кто нить что нить посоветовать ?
Сам просто еще новичек в мире unix . А проблема реальная.
Интересует такой вопрос.
Возможно ли организовать следующие: как после 3ох неудачных попыток ввести логин(пароль), сервер банил человека(добавлял запрещающие правило для ip в ipfw) , пока рут не снимет запрет ?
Или же как обезопаситься от перебора логина ? Может кто нить что нить посоветовать ?
Сам просто еще новичек в мире unix . А проблема реальная.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Вопрос защиты.
Код: Выделить всё
Port: sshblock-1.0
Path: /usr/ports/security/sshblock
Info: Block abusive SSH login attempts
Maint: anders@FreeBSD.org
B-deps: perl-5.8.9_1
R-deps: p5-File-Tail-0.99.3 perl-5.8.9_1
WWW: http://www.bsdconsulting.no/tools/
Port: sshguard-1.3
Path: /usr/ports/security/sshguard
Info: Protect hosts from brute force attacks against ssh and other services
Maint: mij@bitchx.it
B-deps:
R-deps:
WWW: http://sshguard.sourceforge.net
Port: sshit-0.6_4
Path: /usr/ports/security/sshit
Info: Checks for SSH/FTP bruteforce and blocks given IPs
Maint: rafan@FreeBSD.org
B-deps:
R-deps: p5-IPC-Shareable-0.60_1 p5-Proc-PID-File-1.24 p5-Unix-Syslog-1.1 perl-5.8.9_1
WWW: http://anp.ath.cx/sshit/
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- мл. сержант
- Сообщения: 82
- Зарегистрирован: 2007-08-01 16:23:02
- Контактная информация:
Re: Вопрос защиты.
А можешь по подробней ?
- FoxDW
- мл. сержант
- Сообщения: 106
- Зарегистрирован: 2008-08-04 4:42:43
- Откуда: Красноярск
- Контактная информация:
-
- мл. сержант
- Сообщения: 82
- Зарегистрирован: 2007-08-01 16:23:02
- Контактная информация:
Re: Вопрос защиты.
Отлично то что мне нужно, но есть одно но в комментариях пишется о 2-3 дневной работе и отвале, как с этим сейчас кто нить скажет ?
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
Помогите пожалуста!!!
Почему блокировка скидывается не через 300 секунд а как то совсем по другому?
Или я чегото не допонял!
Почему блокировка скидывается не через 300 секунд а как то совсем по другому?
Или я чегото не допонял!
Код: Выделить всё
Mar 29 22:38:21 firebird sshd[42459]: error: PAM: authentication error for vasya from 94.000.000.2
Mar 29 22:38:21 firebird sshit: BLOCKING 94.000.000.2 with ipfw2
Mar 30 00:00:01 firebird sshit: fd closed. clean up
Mar 30 00:00:01 firebird sshit: main removed block rule for 94.000.000.2 (reset time of 300 seconds reached)
-
- мл. сержант
- Сообщения: 82
- Зарегистрирован: 2008-06-10 15:56:37
Re: Вопрос защиты.
Можно еще knockd заюзать. Хорошая вещь. Или порт SSH перевесить на другой порт, отличный от 22.
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
Спасибо за совет! Но Port knocking не очень мне подходит, т.к. приходиться часто соеденяться с сервером из разных мест и чаще всего через Windows.
Попробую поискать альтернативу sshit ну или на крайний случай сменю порт!
Попробую поискать альтернативу sshit ну или на крайний случай сменю порт!
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Вопрос защиты.
нет, ну натурально, а где sshit.conf ваш?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
Ой, сорри!
Код: Выделить всё
8.0-RELEASE FreeBSD 8.0-RELEASE
Код: Выделить всё
# Sample configuration file of sshit.pl
# We use pf as firewall on default
FIREWALL_TYPE = ipfw2
# Number of failed login attempts within time before we block
MAX_COUNT = 3
# Time in seconds in which all failed login attempts must occur
WITHIN_TIME = 60
# Time in seconds to block ip in firewall
RESET_IP = 300
IPFW_CMD = /sbin/ipfw
# Make sure you don't have any important rules here already
IPFW_RULE_START = 2100
IPFW_RULE_END = 2199
IPFW2_CMD = /sbin/ipfw
IPFW2_TABLE_NO = 0
PFCTL_CMD = /sbin/pfctl
PF_TABLE = badhosts
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Вопрос защиты.
вроде все пучком, не вижу в чем проблема, попробуйте другой блокер, выше я приводил их три штуки
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
А не подскажете, я молод еще в этой сфере, к сожалению. Но не может это быть связанно с фаерволом? На двух разных машинах sshit ведет себя совершенно одинаково ipfw настроен на обоих совершенно одинаково! Может в этом загвоздка?
Сейчас буду прововать на третьем компьютере запустить, и ковырять фаерволл...
Сейчас буду прововать на третьем компьютере запустить, и ковырять фаерволл...
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Вопрос защиты.
ну я не телепат и без правил фаервола не подскажу :-[
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
А я вам их сейчас покажу...
Код: Выделить всё
FwCMD="/sbin/ipfw"
LanOut="ale0"
LanIn="re0"
IpOut="94.000.000.2"
IpIn="192.168.0.1"
NetMask="24"
NetIn="192.168.0.0"
${FwCMD} -f flush
${FwCMD} -f table 0 flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny all from "table(0)" to any
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
#${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 3389 via ${LanOut}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Вопрос защиты.
check-state как обычно позабавил, нет ваши правила на sshit никаким боком
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
Вот блин! Походу мне одному так не повезло...
Завтра попробую FreeBSD 6 попробую поставить и на ней сделать всё тоже самое!
Завтра попробую FreeBSD 6 попробую поставить и на ней сделать всё тоже самое!
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Вопрос защиты.
делать нечего, зачем вам 6-ка?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
Ради эксперемента. Что бы понять!!! Толи я криворукий, толи всётаки проблема в 8-ке....
Потому что походу дела я один такой с тремя машинами на которых стоит 8-ка и нормально не работает sshit!
Рубать айпи - рубает, а вот назад их ну ни как не хочет включать Я уж второй день с этим копашусь, уж из принципа хочеться понять в чём косяк
Потому что походу дела я один такой с тремя машинами на которых стоит 8-ка и нормально не работает sshit!
Рубать айпи - рубает, а вот назад их ну ни как не хочет включать Я уж второй день с этим копашусь, уж из принципа хочеться понять в чём косяк
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
Не буду ставить 6-ку Методом проб и ошибок, sshit начал снимать блокировку! Но для того что бы это стало происходить, надо достать бубен!
Блокировал - УРА!
После блокировки делаю
Пробую залогиниться с другой машины
После этого всё начинает работать, даже после перезагрузки машины!
Хотя можно наверное было сделать /etc/rc.d/syslogd restart (который кстати, появляется если только фаервол вкручен в ядро, в других случаях там лежит пустой файл нулевого размера)
Но уж что есть, то есть
Хотя вчера делал syslogd restart без убийства процесса, ни чего не менялось.
В ЧЁМ ПОДВОХ?
Блокировал - УРА!
Код: Выделить всё
Mar 31 00:50:31 firebird sshit: BLOCKING 94.000.000.2 with ipfw2
Код: Выделить всё
#ps -ax | grep sshit
10012 ?? Is 0:00,08 /usr/local/bin/perl /usr/local/sbin/sshit
10015 ?? S 0:00,27 /usr/local/bin/perl /usr/local/sbin/sshit
#kill 10012
#kill 10015
Код: Выделить всё
Mar 31 00:50:59 firebird sshd[46803]: reverse mapping checking getaddrinfo for 93.100.32.12.pool.sknt.ru [93.100.32.12] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 31 00:51:02 firebird sshd[46803]: Accepted keyboard-interactive/pam for poison from 93.100.32.12 port 27975 ssh2
Mar 31 00:51:08 firebird su: BAD SU vasya to root on /dev/pts/0
Mar 31 00:51:11 firebird su: vasya to root on /dev/pts/0
Хотя можно наверное было сделать /etc/rc.d/syslogd restart (который кстати, появляется если только фаервол вкручен в ядро, в других случаях там лежит пустой файл нулевого размера)
Но уж что есть, то есть
Хотя вчера делал syslogd restart без убийства процесса, ни чего не менялось.
Код: Выделить всё
Mar 31 01:03:11 firebird sshit: BLOCKING 94.000.000.2 with ipfw2
Mar 31 01:03:36 firebird sshit: janitor removed block rule for 94.000.000.2 (reset time of 20 seconds reached)
...
Mar 31 01:05:32 firebird sshit: BLOCKING 94.000.000.2 with ipfw2
Mar 31 01:05:56 firebird sshit: janitor removed block rule for 94.000.000.2 (reset time of 20 seconds reached)
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Вопрос защиты.
sshit это текстовой perl скрипт в него внутрь можно заглянуть ;]
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
Я в него вчера заглянул Но так как я не программист, ни чего толком не понял.
Для меня было странно поведение этого скрипта... Всё у меня ни как у людей
Для меня было странно поведение этого скрипта... Всё у меня ни как у людей
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Вопрос защиты.
там выше есть мой пост, там три программы, вы попробовали одну
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- skorin
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2010-03-30 9:47:26
- Откуда: Санкт-Петербург
Re: Вопрос защиты.
Да, конечно же, я видел пост! Спасибо!
Я как раз сейчас обдумываю установку sshguard, думаю ради эксперемента поставлю на одну машину!
Спасибо за помощь!
Я как раз сейчас обдумываю установку sshguard, думаю ради эксперемента поставлю на одну машину!
Спасибо за помощь!
- FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Re: Вопрос защиты.
/usr/ports/security/bruteblock
http://habrahabr.ru/blogs/sysadm/68945/
http://habrahabr.ru/blogs/sysadm/68945/
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!