Вопрос защиты.

[Shaman]

День добрый.
Интересует такой вопрос.
Возможно ли организовать следующие: как после 3ох неудачных попыток ввести логин(пароль), сервер банил человека(добавлял запрещающие правило для ip в ipfw) , пока рут не снимет запрет ?
Или же как обезопаситься от перебора логина ? Может кто нить что нить посоветовать ?
Сам просто еще новичек в мире unix . А проблема реальная.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

Код: Выделить всё

Port:   sshblock-1.0
Path:   /usr/ports/security/sshblock
Info:   Block abusive SSH login attempts
Maint:  anders@FreeBSD.org
B-deps: perl-5.8.9_1
R-deps: p5-File-Tail-0.99.3 perl-5.8.9_1
WWW:    http://www.bsdconsulting.no/tools/

Port:   sshguard-1.3
Path:   /usr/ports/security/sshguard
Info:   Protect hosts from brute force attacks against ssh and other services
Maint:  mij@bitchx.it
B-deps:
R-deps:
WWW:    http://sshguard.sourceforge.net

Port:   sshit-0.6_4
Path:   /usr/ports/security/sshit
Info:   Checks for SSH/FTP bruteforce and blocks given IPs
Maint:  rafan@FreeBSD.org
B-deps:
R-deps: p5-IPC-Shareable-0.60_1 p5-Proc-PID-File-1.24 p5-Unix-Syslog-1.1 perl-5.8.9_1
WWW:    http://anp.ath.cx/sshit/

[Shaman]

А можешь по подробней ?

[FoxDW]

http://www.lissyara.su/?id=1472

[Shaman]

Отлично то что мне нужно, но есть одно но в комментариях пишется о 2-3 дневной работе и отвале, как с этим сейчас кто нить скажет ?

[cat_ua]

regex для pure-ftpd есть у кого то?

[skorin]

Помогите пожалуста!!!
Почему блокировка скидывается не через 300 секунд а как то совсем по другому?
Или я чегото не допонял!

Код: Выделить всё

Mar 29 22:38:21 firebird sshd[42459]: error: PAM: authentication error for vasya from 94.000.000.2
Mar 29 22:38:21 firebird sshit: BLOCKING 94.000.000.2 with ipfw2
Mar 30 00:00:01 firebird sshit: fd closed. clean up
Mar 30 00:00:01 firebird sshit: main removed block rule  for 94.000.000.2 (reset time of 300 seconds reached)

[silent]

Можно еще knockd заюзать. Хорошая вещь. Или порт SSH перевесить на другой порт, отличный от 22.

[skorin]

Спасибо за совет! Но Port knocking не очень мне подходит, т.к. приходиться часто соеденяться с сервером из разных мест и чаще всего через Windows.
Попробую поискать альтернативу sshit ну или на крайний случай сменю порт!

[hizel]

нет, ну натурально, а где sshit.conf ваш?

[skorin]

Ой, сорри!

Код: Выделить всё

8.0-RELEASE FreeBSD 8.0-RELEASE

Код: Выделить всё

# Sample configuration file of sshit.pl

# We use pf as firewall on default
FIREWALL_TYPE   = ipfw2

# Number of failed login attempts within time before we block
MAX_COUNT       = 3

# Time in seconds in which all failed login attempts must occur
WITHIN_TIME     = 60

# Time in seconds to block ip in firewall
RESET_IP        = 300

IPFW_CMD        = /sbin/ipfw

# Make sure you don't have any important rules here already
IPFW_RULE_START = 2100
IPFW_RULE_END   = 2199

IPFW2_CMD       = /sbin/ipfw
IPFW2_TABLE_NO  = 0

PFCTL_CMD       = /sbin/pfctl
PF_TABLE        = badhosts

[hizel]

вроде все пучком, не вижу в чем проблема, попробуйте другой блокер, выше я приводил их три штуки

[skorin]

А не подскажете, я молод еще в этой сфере, к сожалению. Но не может это быть связанно с фаерволом? На двух разных машинах sshit ведет себя совершенно одинаково ipfw настроен на обоих совершенно одинаково! Может в этом загвоздка?
Сейчас буду прововать на третьем компьютере запустить, и ковырять фаерволл...

[hizel]

ну я не телепат и без правил фаервола не подскажу :-[

[skorin]

А я вам их сейчас покажу...

Код: Выделить всё

FwCMD="/sbin/ipfw"
LanOut="ale0"
LanIn="re0"
IpOut="94.000.000.2"
IpIn="192.168.0.1"
NetMask="24"
NetIn="192.168.0.0"

${FwCMD} -f flush
${FwCMD} -f table 0 flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0

${FwCMD} add deny all from "table(0)" to any

${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
#${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 3389 via ${LanOut}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any

[hizel]

check-state как обычно позабавил, нет ваши правила на sshit никаким боком

[skorin]

Вот блин! Походу мне одному так не повезло...
Завтра попробую FreeBSD 6 попробую поставить и на ней сделать всё тоже самое!

[hizel]

делать нечего, зачем вам 6-ка?

[skorin]

Ради эксперемента. Что бы понять!!! Толи я криворукий, толи всётаки проблема в 8-ке....
Потому что походу дела я один такой с тремя машинами на которых стоит 8-ка и нормально не работает sshit!
Рубать айпи - рубает, а вот назад их ну ни как не хочет включать Я уж второй день с этим копашусь, уж из принципа хочеться понять в чём косяк

[skorin]

Не буду ставить 6-ку Методом проб и ошибок, sshit начал снимать блокировку! Но для того что бы это стало происходить, надо достать бубен!

Блокировал - УРА!

Код: Выделить всё

Mar 31 00:50:31 firebird sshit: BLOCKING 94.000.000.2 with ipfw2

После блокировки делаю

Код: Выделить всё

#ps -ax | grep sshit
10012  ??  Is     0:00,08 /usr/local/bin/perl /usr/local/sbin/sshit
10015  ??  S      0:00,27 /usr/local/bin/perl /usr/local/sbin/sshit
#kill 10012
#kill 10015

Пробую залогиниться с другой машины

Код: Выделить всё

Mar 31 00:50:59 firebird sshd[46803]: reverse mapping checking getaddrinfo for 93.100.32.12.pool.sknt.ru [93.100.32.12] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 31 00:51:02 firebird sshd[46803]: Accepted keyboard-interactive/pam for poison from 93.100.32.12 port 27975 ssh2
Mar 31 00:51:08 firebird su: BAD SU vasya to root on /dev/pts/0
Mar 31 00:51:11 firebird su: vasya to root on /dev/pts/0

После этого всё начинает работать, даже после перезагрузки машины!
Хотя можно наверное было сделать /etc/rc.d/syslogd restart (который кстати, появляется если только фаервол вкручен в ядро, в других случаях там лежит пустой файл нулевого размера)
Но уж что есть, то есть
Хотя вчера делал syslogd restart без убийства процесса, ни чего не менялось.

Код: Выделить всё

Mar 31 01:03:11 firebird sshit: BLOCKING 94.000.000.2 with ipfw2
Mar 31 01:03:36 firebird sshit: janitor removed block rule  for 94.000.000.2 (reset time of 20 seconds reached)
...
Mar 31 01:05:32 firebird sshit: BLOCKING 94.000.000.2 with ipfw2
Mar 31 01:05:56 firebird sshit: janitor removed block rule  for 94.000.000.2 (reset time of 20 seconds reached)

В ЧЁМ ПОДВОХ?

[hizel]

sshit это текстовой perl скрипт в него внутрь можно заглянуть ;]

[skorin]

Я в него вчера заглянул Но так как я не программист, ни чего толком не понял.
Для меня было странно поведение этого скрипта... Всё у меня ни как у людей

[hizel]

там выше есть мой пост, там три программы, вы попробовали одну

[skorin]

Да, конечно же, я видел пост! Спасибо!
Я как раз сейчас обдумываю установку sshguard, думаю ради эксперемента поставлю на одну машину!
Спасибо за помощь!

[FreeBSP]

/usr/ports/security/bruteblock
http://habrahabr.ru/blogs/sysadm/68945/