LINUX.ORG.RU

Кто-то хочет подобрать пароль. Как с этим бороться?


0

0

Последние два дня в логах я читаю следующее:

Jan 24 16:46:12 apple sshd[7002]: Failed password for invalid user apple from 83.17.250.238 port 58648 ssh2 Jan 24 16:46:14 apple sshd[7007]: Failed password for root from 83.17.250.238 port 58935 ssh2 Jan 24 16:46:16 apple sshd[7012]: Invalid user brian from 83.17.250.238 Jan 24 16:46:16 apple sshd[7012]: error: Could not get shadow information for NOUSER

Я так понял, кто-то пытается подобрать пароль на SSH. Как настроить систему, чтобы ip-адрес того, кто делает слишком много попыток входа, банился?


Ответ на: комментарий от ivlad

Крутая штука :-) Только я никак не могу разобраться. Запускаешь make install, копируешь конфиг pam_abl.conf в /etc/security/ А что делать дальше?

Rendal
() автор топика

У меня подобные логи были до 1MB в сутки. А с какими логинами ломились - вообще песня, имена всех наций и народностей. Сделал тупо - изменил порт sshd с 22 на фонарный. Теперь чистота ...

anonymous
()
Ответ на: комментарий от Rendal

> А что делать дальше?

дальше - включить модуль в цепочку аутентификации для ssh:

auth required /lib/security/pam_abl.so config=/etc/security/pam_abl.conf

в документации написано.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

Я это прочитал, но я сегодня туго соображаю :-( Там есть файл system_auth в папке conf, где есть в том числе и эта строчка, а в документации написано несколько подобных строк. В какой файл надо это вписать?

Rendal
() автор топика

Перемести sshd с 22 на другой порт и/или закрой файрволом и пускай только избранных.

Deleted
()
Ответ на: комментарий от Deleted

Но ведь нехороший человек может вычислить на каком порте висит ssh. А пускать только избранных не получится, потому что хотелось бы оставить возможность иногда подключаться из дома, а там получается динамический ip

Rendal
() автор топика
Ответ на: комментарий от Rendal

> Я это прочитал, но я сегодня туго соображаю :-(

читай до просветления :)

> Там есть файл system_auth в папке conf, где есть в том числе и эта строчка, а в документации написано несколько подобных строк. В какой файл надо это вписать?

в тот файл, что бы это попало в стек аутентификации ssh. если system_auth попадает, то вписать в него.

ivlad ★★★★★
()
Ответ на: комментарий от Rendal

Нехорошие люди/программы обычно не тратят лишнее время и не обнаружив ssh на 22 отваливают. Интернет большой...

anonymous
()

Пропиши такое и уменьшиш себе трафик -A INPUT -p tcp -m tcp --dport 22 -i eth2 -m state --state NEW -m hashlimit --hashlimit 24/m --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 360000 -j ACCEPT

anonymous
()
Ответ на: комментарий от anonymous

Если я все правильно понял, то надо прописать строчку auth required /lib/security/pam_abl.so config=/etc/security/pam_abl.conf в файл /etc/pam.d/system_auth и все заработает. Верно?

Rendal
() автор топика
Ответ на: комментарий от Rendal

Это строчка из моего IPtables (etc/syscofig) или просто пропиши эту строчку в башфайле и запускай при старте

anonymous
()
Ответ на: комментарий от anonymous

А еще в /etc/cron.hourly можно скрипт закинуть:

#!/bin/bash
grep -v ssh /var/log/messages >/tmp/msgs
mv /tmp/msgs /var/log/messages

А если не поможет, то еще в папку /etc/cron.weekly

#!/dev/hands
drink iad

zhuk
()
Ответ на: комментарий от Valmont

можно еще модуль limit использовать. логи чистейшие. хотя recent по моему мнению предпочтительней.

BigKAA
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.