LINUX.ORG.RU
ФорумAdmin

sshd 9.8 PerSourcePenalties как не забанить самого себя

 


1

3

Всем привет, тестирую встроенный в sshd 9.8 аналог fail2ban - PerSourcePenalties

Захожу с динамических адресов, в PerSourcePenaltyExemptList их не пропишешь. Предпочитаю банить брутфорсеров максимально надолго. Иногда, скорее всего после обрыва сессии из-за потери интернета я сам оказываюсь забанен и приходится ходить окольными путями, рестартовать sshd. В логах : «penalty: connections without attempting authentication», с предшествующим днём ранее «Connection timed out»

Сейчас суровые параметры такие : PerSourcePenalties crash:99d authfail:99d refuseconnection:99d noauth:99d grace-exceeded:99d max:99d max-sources4:200000

Думаю ослабить noauth и grace-exceeded, кто как пользует эту опцию?



Последнее исправление: kokuam (всего исправлений: 1)
как скачать несколько файлов с помощью curl/wget?
NetworkManager traffic splitting

Предпочитаю банить брутфорсеров максимально надолго.

Сейчас суровые параметры такие

При таком уровне паранои, рекомендую port-knocking, работает он так:

  1. по умолчанию, sshd закрыт для всех, и слушает на :58885 порту
  2. knockd запущен на том же сервере что и sshd, он открыт для всех, и слушает на :45554 порту
  3. для того чтобы зайти по ssh, клиент должен «постучаться» TCP SYN на порт knockd

telnet <server_ip> 45554

  1. knockd по этому событию открывает доступ с этого IP до порта :58885

  2. ssh <server_ip> -P 58885

  4. PROFIT

Первая ссылка в гугле https://goteleport.com/blog/ssh-port-knocking/

gagarin0
()
Ответ на: комментарий от gagarin0

Повесь sshd на 58885 порт, это порт магический, его не сканируют и не брутфорсят

До первого апреля еще далеко.

А для особых параноиков есть one time port knocking.

TC не ответил какая задача решается.

vel ★★★★★
()
Ответ на: комментарий от gagarin0

Я прочитал тред и не стал ничего советовать пока ТС не озвучит задачу которую он пытается решить при помощи PerSourcePenalties.

Переборы паролей раздражают только когда они разрешены для всех.

vel ★★★★★
()
Ответ на: комментарий от vel

спасибо, локальная задача была не забанить себя, noauth:10m grace-exceeded:10m вроде помогли, но насколько снизили эффективность защиты - непонятно. статистики как у fail2ban/sshguard тут нет.

глобальная задача - оптимально защитить sshd минимальными средствами, fail2ban на мелких VPS в топе потребителей

port knocking - минималистичное решение, уже кое-где использую, но тут тоже интересный вопрос чем стучать в полевых(чужой пк) условиях? броузером как-то не ловко, кто чем пользуется?

kokuam
() автор топика
Ответ на: комментарий от kokuam

чем стучать в полевых(чужой пк) условиях?

telnet/netcat есть в *nix, osx, win

оптимально защитить

минимальными средствами

  1. повесить sshd на порт 58885

  2. при обращении любого IP на :22 tcp порт сервера -> автоматически добавлять его в блеклист на N часов при помощи fail2ban

gagarin0
()
Последнее исправление: gagarin0 (всего исправлений: 3)
Ответ на: комментарий от kokuam

спасибо, в win по-умолчанию telnet нет

Разве? Мне всегда казалось (все 8 раз когда я пользовался виндой, что можно сделать так: пуск->выполнить->cmd) и там есть telnet

хотя ssh - есть

Разве в дефолтной винде теперь ssh поставляется из коробки? Если да - то можно стучаться (делать TCP ACK) им.

броузером

самый универсальный метод, не вижу в нем ничего плохого, главное чтобы порты были открыты наружу

gagarin0
()
Последнее исправление: gagarin0 (всего исправлений: 1)
Ответ на: комментарий от kokuam

Наружу постоянно только ssh по ключу. Остальное через порт-кнокинг.

Есть очень интересный вариант порт-кнокинг через icmp - несколько пингов разной длинны.

vel ★★★★★
()
как скачать несколько файлов с помощью curl/wget?
Admin
NetworkManager traffic splitting