LINUX.ORG.RU
ФорумSecurity

Подбирают пароль SSH, просто способ защититься посоветуйте


0

0

Вот, проблема в общем описана... поискал по форуму, нашёл в ФАКе... это

watchfor /Illegal/ exec "/sbin/ipfw add 1 deny ip from $10 to any in via rl0 && echo /sbin/ipfw delete 1 | at now +30minutes" mail addresses=admin\@domain.ru,subject="SSH:\ Illegal\ User\ IPFW \ Rule\ Added"

Объясните, как это работает? судя по всему это простейшая блокировка всей подсети? распишите кто-нить по командам, как работает? что я понял, что если 10 паролей не верно, то блок на 30 минут, а дальше? какой командой правило будет удаляться?

что-то я нифига не понял...

Безоапсен ли Webmin ?
Новый метод взлома WPA-шифрования в беспроводных сетях

echo /sbin/ipfw delete 1 | at now +30minutes

sidor ★★
()
Ответ на: комментарий от k4m454k

> Ну это же не панацея безопасности.... надо именно блок подсети атакующего
Попробуй http://denyhosts.sourceforge.net/

Не знаю, как насчёт блока подсетей,, но denyhosts вкупе со сменой порта делает систему пуленепробиваемой к брутфорсам.

Slavaz ★★★★★
()
Ответ на: комментарий от k4m454k

Re^2: Подбирают пароль SSH, просто способ защититься посоветуйте

Не панацея, но любопытствующих отсечет

MadCAD ★★
()

а не легче ли доступ по паролю закрыть и авторизацию по ключу прописать?

delilen ★☆
()

проще всего просто сменить порт

угрозы там как правило никакой в подборе пароля нет, просто засоряют логи боты всякие

Sylvia ★★★★★
()
Ответ на: комментарий от k4m454k

iptables -A RH-Firewall-1-INPUT -p tcp -m tcp -m state -m recent --dport 22 --state NEW -j DROP --update --seconds 180 --hitcount 4 --rttl --name SSH --rsource пробовал так... ничего не вышло.. кстати... что за ключ rttl и hitcount ?

k4m454k
() автор топика

я делаю так

-A INPUT -p tcp --dport 22 -m recent --set --name ssh_checking
-A INPUT -p tcp --dport 22 -m limit --limit 3/minute --limit-burst 5 -m recent --update --seconds 300 --hitcount 4 --name ssh_checking -j LOG --log-prefix "SSH_FLOOD, drop: "
-A INPUT -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --name ssh_checking -j DROP


Вторая строчка логгирует записи.

AndreyKl ★★★★★
()
Ответ на: комментарий от AndreyKl

Немного поясню. Записи позволяют сделать три попытки конекта за 5 минут. Если делается четыре попытки, то ip блокируется на минут. Если за эти 5 минут этот же ip пытается подконектится, то отсчёт времени начинается с начала. Если 5 минут с блокированного ip пакетов не приходило, ip разблокируется.

AndreyKl ★★★★★
()

тут вот разобрана проблема и основные варианты решения: pam_abl и блеклисты, отказ от аутентификации по статическим паролям, использование нестандартного порта и port knocking: http://community.livejournal.com/securityblogru/28050.html

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Безоапсен ли Webmin ?
Security
Новый метод взлома WPA-шифрования в беспроводных сетях