стучатся по ssh

Ты хочешь зарезать ботнет? Ну-ну.

ручками

А вот это автоматизируется. Хоть fail2ban, хоть что.

Это боты. fail2ban в помощь

Это же чудаки-исследователи.... -Тук-тук, кто в тереме живет?.... :-)

fail2ban
port-knocking
honeypot
банальная смена порта.

выбирай любой удобный выход

поменяй порт для ssh и не мучайся

смена порта + fail2ban для самых настырных

Вместо костылей в виде правил файрволла, фейл2банов и паролей лучше перейди на авторизацию _только_ по ключам. И пусть они хоть до посинения стучатся.

И я их постепенно добавляю в firewalld фильтр ручками

Такая-то попытка осушить океан дырявой ложкой, даже не жалко тебя.

Плюсую этого ЛОРчанина плюс авторизация по ключу.

Только по ключам не всегда удобно. Для привилегированного юзера это конечно только так, а если еще и ходить с разных устройств, в том числе смарфонов? Где ключ хранить?

Не верю что SSH-клиенты на Android не умеют в запароленный ключ

В принципе, ты через geoip можешь получить список диапазонов Китая и забанить весь Китай — большая часть этой фигни лезет оттуда. Ручками добавлять задолбаешься. Даже готовые скрипты/списки есть.

Ну плюс и автоматические утилиты вроде fail2ban есть, но так как если ты не совсем верблюд то твой пароль не 12345 и авторизация у тебя по ключу, то единственная твоя проблема — мусор в логах, а не реальная опасность. А с мусором в логах fail2ban ничего особо не сделает.

Ну или да, альтернатива — меняй порт. Но не факт, что это того стоит.

А можешь просто забить.

меняй порт. Но не факт, что это того стоит.

Боюсь спросить, сколько у вас стоит сменить порт?

На смартфоне и хранить. Или ты тоже ноешь когда незнакомый человек без ключа не может дверь в твою квартиру открыть?

И пусть они хоть до посинения стучатся.

Святая простота... Десятка три-четыре стучащихся тебе обеспечат и загрузку, и трафик какой-никакой.

Но есть ли где более или менее

iptables recent вполне достаточно, чтобы бот ушёл пытать счастья в другом месте.

сколько у вас стоит сменить порт?

Очень дорого: собственной памяти. Зачем помнить разное ненужное для разных случаев ?

и загрузку, и трафик какой-никакой.

Сервер - доисторическая Нокла с интернетом на жопорезе?

Очень дорого: собственной памяти. Зачем помнить разное ненужное для разных случаев ?

Ну вот у меня например для всех случаев ssh порт 43422 (на самом деле другой). Это ведь не пароль, чтоб на каждый сервер разный ставить. Просто запомнить префикс из 2-3 цифр и 99% ботов проходят мимо, что собственно и требуется.

Сервер - доисторическая Нокла с интернетом на жопорезе?

Хороший ты агроном, сажай больше картошки.

Это, если не понял, из анекдота. Там ещё колорадский жук участвовал.

Вместо костылей в виде правил файрволла

Ну а чо, нехай долбят sshd, пусть делает tcp connect, форкается, запускает проверку протокола на предмет авторизации и отпинывается сам. Разве это похоже на костыль? Конечно нет, сколько же работы совершается! Толи дело firewall, он раз и tcp-reject, явно же костыль!

А ресурсы жесткого диска ты экономишь?

А ресурсы жесткого диска ты экономишь?

Ну так и запишем, по теме сказать нечего.

Смотрю у вас мания все записывать, что мимокрокодилов в интернетах, что мимоботов долбящихся на ссх. Когда коту делать нечего, короче. Главное ж шоб не форкало лишний раз!

у вас

Начните с авторов линуксового сетевого экрана, они ж точно занимаются фигнёй.

Это ведь не пароль, чтоб на каждый сервер разный ставить.

Это если все свои. А если на какие-то ходишь в гости, помочь ? А там тоже любитель порт поменять. Спрашивать каждый раз ?

Хороший ты агроном, сажай больше картошки.

Диды картошку сажали и ты сажай.... :-)

Пусти меня, я просто посмотреть, менять ничего не буду

Например:

http://cinsscore.com/list/ci-badguys.txt
http://feeds.dshield.org/top10-2.txt
http://feeds.dshield.org/block.txt
http://www.openbl.org/lists/base.txt

И man ipset.

Таг «безпастность» лишний. Нехватает тагов «папаноидальное растройство личности», «я у мамы какир» и «одмин локалхоста».

Боты стучатся? Who cares? Настрой вход по ключам и забей.

Вполне ожидаемо, что у многих порт будет не стандартный, поскольку смена порта на нестандартный - первый пункт любого hardening guide (как с такой бедой жить смотри там п.5)

Что то как то неразумно там скоп весь резать =), особенно там какие то списки ез ентернета надыбывать..,надо перевернуть сознание и посмотреть на это с другой стороны =), замена порта + fail2ban вполне достаточно имхо,ну ещели копаться там с правилами не хотся то вход по ключу..,можна еще белый список из самого себя сделать тогда точно враг не пройдет! =) ,даже скучно станет от того что логи пустые, начнешь думать что что-то сломал =)

а вот у меня есть пара серверов, где а) перенесено на нестандартный порт, б) вход только по ключам, в) фейл2бан дает 3 попытки в течении часа и банит на сутки. так все равно какойто хрен натравил но оба этих сервера ботнет и он уже неделю в них стучится круглые сутки.

настырный китаец попался.

А мне даже как то стало интрересно, что они будут делать если доступ получат. Создал изолированную виртуалку со стандартным паролем. Но в итоге толком они ничего и не делают.

Да ничего, будешь просто ботом в стае, для DoS-атаки, или порно студией , было как то на моей практике такое =)) что еще взять то ,кредиток нет так хоть зауздить =)

Вполне ожидаемо, что у многих порт будет не стандартный

Понимаешь, это просто желание людей создать проблемы на ровном месте. Потом сказать, что это - круто.

а потом внезапно вдруг поедешь в Китай и забудешь бан снять :)

man sshguard

Это не круто, это просто +1 к безопасности. Круто это когда за счет таких мелочей счетчик за 900 переваливает

1. Сменить порт ssh.
2. Сделать авторизацию по ключу.
3. ???
4. PROFIT!

Шта за крючечки по номером 3? Вы что NASA защищаете? хватит и 2-х первых пунктов =) Боты это ловушка на ламо, а с ламо и взять нечего, тех кого хотят достать,достанут и с 10-ю пунктами...

Да и в расчет iptables и fail2ban я не беру, это уже штатно должно быть у каждого в настроенном виде..

стучатся по ssh

12 часов ночи. Стук в дверь...

-Кто там? У нас все дома...

-Хозяин, поговорить надо...

-А сколько вас?

-Пятеро...

-Вот между собой и говорите... :-)

а с ламо и взять нечего

Верно. Чаще всего людей интересуют деньги... :-)

P.S. Адриан Ламо - хакер из США. В начале карьеры ходил с рюкзаком, где был старый ноутбук и одеяло. Спал на лавочках Сан-Франциско. О нем написано на Википедии. Сейчас занимается всякой всячиной.... :-)

Не верю

Понятия не имею что там они умеют, у меня нет андроидов. Хорошо если они адекватные, а то может как впн-клиенты — такой ужас, что лучше бы их вообще не было.

А для ФТП тоже может быть порт менять? И для почты, чё уж. Давай вообще стандартные порты переопределим, это ж как секьюрность сразу повысит!

используй fail2ban

fail2ban

Как раз подойдет для моих нужд.

Вот это очень интересно.

Ага только правила в fail2ban нужно верно закатать а то там по умолчанию такой шляпик записан который уже наверное все умеют обходить, в том числе и боты =), нужно помнить что на той стороне за ботами тоже люди сидят, зачастую далеко не глупые =). Так что гуглояндекс,книжецы и.т.д..

Это если все свои. А если на какие-то ходишь в гости, помочь ? А там тоже любитель порт поменять. Спрашивать каждый раз ?

[подкол]А хостнэйм/ip вы видимо наизусть помните?[/подкол]