forum.lissyara.su

Встала такая задачка.
Есть сервер на который разрешено соединятсья по ssh всем ip но только перечисленному списку пользователей, запрещен прямой вход root и другие хорошие правила...но просматривая логи ssh увидел что ко мне повадился заходить один пользователь с определенного ip (скорей всего через прокси) и давай перебирать логины и пароли (у него конечно ничего не вышло). Посмотрев я на это на firewall закрыл его..на следующее утро он поменял видно прокси и снова за свое, с неудачными попытками. Нашел в инете правила firewall которые закрывают соединение если логиньтсья быстрей чем за 20 сек, тоесть если ты бот то набираешь все быстро и тебя отбрасывают... все хорошо ..но можно ли сделать что бы такие же самые правила можно было прописать в sshd.conf (слышал такое возможно)? да и вообще как еще можно бороться с такими вот кул-хацкерами что бы они не засоряли логи своими попытками ?

я к примеру перевесил ссх на другой порт, по крайней мере тупые боты не долбятся

schizoid писал(а):я к примеру перевесил ссх на другой порт, по крайней мере тупые боты не долбятся

хм..как вариант, но не то

у меня так же решилось - просто перекинул ссш порт на др
...
помоему на сайте где то есть статья по настройке демона
который лопатит логи и блочит адреса файерволом
я пробовал из портов bruteblock, там вроде как все просто в настройке но -))))
вопшем он у меня в холостую работал, нечего в таблицу ipfw не добавлял и я его снёс

Не пробывал но видел такую штуку!!!
ssh открывает 22 порт только когда клиент по заранее установленному порядку стучится на указанные порты
тогда ipfw открывает 22 и форвардит юзера туды! Это должно решить твои проблемы!
Вот почитай http://www.lissyara.su/?id=1283

есть такой в портах - pam_abl - у меня правда влёт не завёлся, но днях по наличию времени доковыряю, ибо автор грит у него таких проблем нет...
тем боле надо - у нас одна машинка ssh наружу смотрит

а нет ничего более проще ...а то все как то уж слишком запутанно

Закрой 22 !!! проше некуда!

demondem10 писал(а):Закрой 22 !!! проше некуда!

это уже слишком просто будем искать как сделать закрытей систему без прикручивания дополнительных прог

Ну и пусть стучатся, что тебе, жалко чтоли. В sshguard пришлось немного подправить исходник правда, чтобы в таблицу ipfw добавлял за шлюзом Cisco стоит, сначало тоже порт на ней поменял, потом просто интересно стало, сколько му-ов стучится в ssh, в итоге на 22 так и оставил. Уже как год почти

наконфигал свой ssh так что теперь даже боты не стучаться, у человека есть 10 секунд что бы залогиниться потом отрубаеться, есть 3 попытки на введение правильного пароля, есть проверка ip адреса, есть правило в firewall на блокировку ботов..если что то случаетсья из списка то sshd блокируеться и закрывает ip желающего приконектиться.. Результат: если раньше ломились боты как сумашедчие ..то сейчай две попытки за сутки ..думаю хороший результат... возможно напишу статью по конфигуривании sshd

вот тока ламают не тока по ссх

schizoid писал(а):вот тока ламают не тока по ссх

но я же не говорю что ssh это самое главное и самое крутое ...есть еще много чего вкусного и приятного

вот на сайте: sshit - защита от подбора паролей ssh/ftp
правда у меня нормально не работает) меня или кого-то кто проверяет блочит, а подлых ботов нет) странно)

kmb писал(а):вот на сайте: sshit - защита от подбора паролей ssh/ftp
правда у меня нормально не работает) меня или кого-то кто проверяет блочит, а подлых ботов нет) странно)

хорошенькая статья..вот только под linux я такого не знаю... хотя подчерпнул для себя правило для iptables (да из них уже у меня были)

Гы, прикол. Примерно с двух часов ночи каждые две минуты в auth.log валится такое ссобщение:
sshd[....] error: PAM: authentication failure
Ни ай-пи, ничего больше нет. Это бот ломится или какая-то системная ошибка?

Лавина из дерьма! :-) Теперь уже внаглую ломятся, даже ай-пи не скрывают. Кстати, айпишник похож на реальный, пробил по whois - белорусская контора.

P.S.Порт что-ли сменить, логи только мусорят.

vygov писал(а):Лавина из дерьма! :-) Теперь уже внаглую ломятся, даже ай-пи не скрывают. Кстати, айпишник похож на реальный, пробил по whois - белорусская контора.

P.S.Порт что-ли сменить, логи только мусорят.

Ботов/вирусов полно. Не обязательно хакеры. Разве что косвенно.

никто не юзал?
у меня не работает, а по самой идее - самое лучшее из того что встречал...

По ходу вопрос по ssh. Сменил порт в sshd.conf, перегрузил(sshd restart не сработало, хотя писало, что аргументы перегружены), 22-й залочился, нужный открылся. А вот откуда система берет по умолчанию параметры для ssh-порта? Глянул в sshd, все строки были закомментированы. Откуда и с какими параметрами работает ssh по умолчанию?

вкомпилены, думаю.

vygov писал(а):По ходу вопрос по ssh. Сменил порт в sshd.conf, перегрузил(sshd restart не сработало, хотя писало, что аргументы перегружены), 22-й залочился, нужный открылся. А вот откуда система берет по умолчанию параметры для ssh-порта? Глянул в sshd, все строки были закомментированы. Откуда и с какими параметрами работает ssh по умолчанию?

А я думаю, что всё что закомментировано в конфиге, и есть настройки по умолчанию.

Не думаю. Добавляю туда под комментом любые настройки - не включаются.

vygov писал(а):Не думаю. Добавляю туда под комментом любые настройки - не включаются.

имеется ввиду - они как пример перечислены.
сами же дефолтовые настройки - вкомпилены в бинарник, на то они и дефолтовые

Заметил за демоном sshd одну неприятную особенность. При смене порта в sshd.config и перегрузке демона, новый порт подключается, но и старый остается работать. Отключается он только при перезагрузке системы. Так и должно работать или это я что-то неправильно делаю?