forum.lissyara.su

Доброго дня.
Не успел поставить систему, как в auth.log увидел следующее:
Aug 5 12:06:32 mx sshd[3956]: Invalid user www-data from 88.255.239.62
Aug 5 12:06:34 mx sshd[3958]: Invalid user joe from 88.255.239.62
Aug 5 12:06:35 mx sshd[3960]: Invalid user user1 from 88.255.239.62
Aug 5 12:06:36 mx sshd[3962]: Invalid user upload from 88.255.239.62
Aug 5 12:06:37 mx sshd[3964]: Invalid user postgres from 88.255.239.62
Aug 5 12:06:39 mx sshd[3966]: Invalid user henry from 88.255.239.62
(ну и далее в том же духе на 150 килобайт)
Файервола еще не ставил (mc компилировался полдня - машина старушка), но что нибудь включу. Вопрос в следующем - а возможно ли сделать так, чтобы блокировать такие адреса автоматически - ну например десяток попыток неудачных был и в сад? Пока заблокировал д-линком диапазон адресов. Может кто подскажет, что почитать/посмотреть?

Ну можно наоборот в самом ssh поставить только Избранные ип, тобишь дать права на конект с определенных ип и только.
2) вариант поменять порт демона, может быть сдует половину
ну и 3 вариант кроме скрипта на добавления в фаервол ничегон еприходит в голову.
сам не проверял но текст интеренсый - http://www.lissyara.su/articles/freebsd ... _knocking/
Можно еще поискать посайту.

Почитай эту статью. Да и вообще, я как только устанавливаю систему, тут же меняю порт, на котором висит sshd.

Shuba писал(а):Почитай эту статью. Да и вообще, я как только устанавливаю систему, тут же меняю порт, на котором висит sshd.

я неопытный . по работе смотрю за сетью, состоящей из санов и солярки (и сервера и рабочие станции). но тут все статично и настроено, только следи, чтобы не умирало ничего. вот решил в мирных целях потренироваться, да и развиваться нужно).
про соединение с определенных айпи думал, но у меня бывает часто так, что не знаешь откуда выйдешь. Поменяю порт для начала, ну и про скрипт подумаю. Спасибо!

А что, неопытные люди не умеют читать статьи?
В портах есть достаточно разных приложений для блокирования ssh-атак с помощью ipfw: описанный в указанной выше статье sshit, bruteblock и т.д. Если в качестве файрвола используется pf, то можно блокировать атаки его встроенными средствами, задавая лимит на открытые сессии в keep-state соединении и помещая в отдельную таблицу тех, кто этот лимит будет превышать, а таблицу, соответственно, блокировать. В интернете это достаточно подробно разжевано, например вот тут.

Dog писал(а):А что, неопытные люди не умеют читать статьи?.

умеют. потому и спросил, куда посмотреть, а не как сделать. самому не получилось найти - потому как неправильно формулировал вопрос. за ссылку - благодарю.