Страница 1 из 2
Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 12:30:49
chipset
Сначала пробовал скрипт от сюда:
http://www.lissyara.su/articles/freebsd ... y_aspects/
логи он успешно переносит ошибок не выдает, но и в ipfw не чего не заносит. Копался со скриптом вроде как я понял у меня не отрабатывает uniq -c. Но не нашел какой нужно установить порт для него.
Вручную например заношу правило:
Код: Выделить всё
ipfw add 1 deny ip from 192.168.1.5 to me
00001 deny ip from 192.168.1.5 to me
Все работает. А вот с этим скриптом не разберусь.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 12:57:04
FreeBSP
во-первых, uniq а не inic
во-вторых? есть уже куча готовых средств, например sshit, bruteblock... я пользуюсь последним
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 13:07:11
snorlov
А я последнее время, года 3-и, файером стал пользоваться, поскольку ip-адреса с которых хожу известны..
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 13:23:57
chipset
Пробую все же разобраться с скриптом. Сейчас сделал его проще для тестов:
Код: Выделить всё
#!/bin/sh
# Вначале отлавливаем IP с которых пытаются залогинится
# под несуществующими пользователями
cat /var/log/auth.log | \
grep Invalid | awk '{print $10}' | sort | uniq -c | sort
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 10 ]
then
#echo "IP address = ${IP} deny count = ${count_deny}"
/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
fi
done
}
Запускаю:
И на этом он висит. ip выдернут нужный требуется его добавить в фаер да и все
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 13:34:04
chipset
Поставил | после sort скрипт молча выполнился но в фаерволе пусто
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 14:06:47
chipset
Код: Выделить всё
# Вначале отлавливаем IP с которых пытаются залогинится
# под несуществующими пользователями
cat /tm/log/auth.log | \
grep Invalid | awk '{print $10}' | sort | uniq -c | sort |
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 10 ]
echo "IP address = ${IP} deny count = ${count_deny}"
/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
then
fi
done
}
Так заработало. Ну все таки защита не очень понравилась было просто интересно почему не работает.
http://freebsd.km.ua/archives/1215 Наверное вот это буду пробовать.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 14:34:12
snorlov
sshit поставь и не дергайся, впрочем, если хочешь разобраться со скриптами, то флаг в руки...
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 14:37:05
chipset
Настроил bruteblock. Все работает. Делал как тут:
http://freebsd.km.ua/archives/1215
Вопрос как смотреть забаненных? Тут не чего не видно
Код: Выделить всё
ipfw show
00005 14 1360 deny ip from table(1) to me dst-port 22
Я пока нашел только так:
Но это не удобно если список длинный. Да и не видно будет наверн после очищения таблицы.
И посоветуйте какие параметры лучше задать max_count, within_time, reset_ip
Пойдут такие параметры или лучше какие то другие max_count=3 within_time=300 reset_ip = 86400 (сутки тоесть)
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 14:55:32
FreeBSP
ipfw show table 1
или
ipfw list table 1
чтото из этого
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 15:29:58
chipset
Код: Выделить всё
#ipfw show
00005 14 1360 deny ip from table(1) to me dst-port 22
Код: Выделить всё
ipfw show table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist
Код: Выделить всё
#ipfw list table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 15:35:33
chipset
Таких команд просто нет что вы советовали.
Правильно так:
Ну а команды:
Тоже нету. Да и наверное не к чему она.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 15:41:34
abi
Лучшая защита от брута - отключить аутентификацию по паролю и нарезать нужным людям RSA-ключи.
Правила для файрвола - это защита от распухания логов.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 15:46:03
chipset
И последний вопрос. Я так понимаю если будет брут идти с сменой ip через две попытки, а блок у меня после 3 неверных. То я как понял блокировки не будет. И есть ли еще какие тонкости. ssh я разрешил одному пользователю root запрещен. Наверное стоит и порт сменить с стандартного. Хотя думаю нет смысла порты просканить не так долго будет.
C RSA-ключами согласен. Но проблема в том что требуется иногда зайти что то глянуть и с мобилы стоит андроид. Как сделать там ключ я даже не знаю. Или к примеру может понадобится не со своего компа доступ. Хотя тоже есть вариант таскать ключ на флешке.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 15:58:11
abi
А там и не надо делать ключ. Ключ делается на сервере один раз. А потом импортируется куда надо/кладётся на флешку. У Андроидов есть SSH клиент ConnectBot, он должен поддерживать.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 16:18:35
Shuba
chipset писал(а):Код: Выделить всё
#ipfw show
00005 14 1360 deny ip from table(1) to me dst-port 22
Код: Выделить всё
ipfw show table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist
Код: Выделить всё
#ipfw list table 1
ipfw: invalid rule number: table
ipfw: rule 1 does not exist
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-04 16:24:21
snorlov
chipset писал(а):И последний вопрос. Я так понимаю если будет брут идти с сменой ip через две попытки, а блок у меня после 3 неверных.
Как ты понимаешь смену ip, это тебе не локальная сеть где можно быстро и непринужденно, да и время можно поставить часа 3-и не больше и вообще у меня мнение, что этим школота занимается...
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-05 7:38:28
chipset
Ну порой наблюдаю идет брут и ip сразу разные проскакивают
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-05 7:55:51
sadchok
snorlov писал(а):
Как ты понимаешь смену ip, это тебе не локальная сеть где можно быстро и непринужденно, да и время можно поставить часа 3-и не больше и вообще у меня мнение, что этим школота занимается...
Этим занимаются вполне адекватные люди.
Посмотри в инете продажу ssh логинов от сломанных серверов.
Доступ по ssh (даже непривилегированный) это как минимум удаленный прокси сервер.
А смена IP происходит при переподключении по DSL если у тя динамический IP.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-05 8:08:49
sadchok
Я использую DenyHosts с RSA-ключами.
После того как разрешил DenyHosts подгружать списки IP из инета, стало намного меньше валить писем руту о блокировке
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-05 8:32:24
chipset
sadchok писал(а):snorlov писал(а):
Как ты понимаешь смену ip, это тебе не локальная сеть где можно быстро и непринужденно, да и время можно поставить часа 3-и не больше и вообще у меня мнение, что этим школота занимается...
Этим занимаются вполне адекватные люди.
Посмотри в инете продажу ssh логинов от сломанных серверов.
Доступ по ssh (даже непривилегированный) это как минимум удаленный прокси сервер.
А смена IP происходит при переподключении по DSL если у тя динамический IP.
Не ну смена ip несколько раз в минуту это не может быть перезагрузка DSL динамический ip может и не сменится. Это уш скорее перебор одновременно с нескольких машин. А то что это вполне адекватные люди согласен.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-06 9:47:40
bagas
я маниторю ssh авторизации скриптом.
маниторинг ssh
а обезопасиваю я с помощью fail2ban.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-06 11:09:16
chipset
Код: Выделить всё
Sep 6 10:26:55 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:00 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:04 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:08 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:13 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:17 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:21 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:26 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:30 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:34 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:39 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:43 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:48 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:27:55 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:03 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:08 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:12 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:16 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:20 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:25 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:30 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Sep 6 10:28:37 bsd bruteblock[2534]: Blocking failed for 124.192.161.179
Код: Выделить всё
ipfw table 1 list
124.192.161.179/32 1346923574
Че он его блочит по сто раз не пойму ip тот же.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-06 11:20:15
chipset
А все понял само правило:
Код: Выделить всё
ipfw add 5 deny all from table\(1\) to me 22
Я не добавил в скрипт. И после перезагрузки оно исчезло вот и ломился он столько раз.
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-10 13:02:46
Призрак
Хоть и давно была тема поднята, на всякий случай посоветую - ставь Fail2Ban этим ты не только SSH обезопасишь но и многие другие сервисы. Fail2Ban читает журналы, и если находит совпадения по своим правилам кидает IP адрес в бан. Если хочешь напишу как устанавливать и настраивать (для ipfw могу более подробно описать).
Re: Посоветуйте защиту от брута ssh
Добавлено: 2012-09-11 7:37:48
chipset
К чему ставить еще что то? Вроде все устраивает. А другие сервисы это какие?