Повесь на другой порт

+ http://www.linux.org.ru/jump-message.jsp?msgid=1320671

я бы на этот порт повесил експлоит, чтоб атаковал машину, которая зайдет прям :)

>Типа есть открытый порт, кто-то на него пытается зайти и его IP тут-же блокируется.

тогда уж лучше просто порт не открывать.

>тогда уж лучше просто порт не открывать.

Мне нужно чтоб sshd работал в бэкграунде, но нехорошики чтоб не трогали мою машину. Порт открыт чтоб плохиши в него стучались. А как постучались так их соовсем и режет - к любому порту доступа им нет. По моему очень не плохо получается.

2Demetrio: спасибо. Будем ставить. Только ssh я туда все же совать не буду: простой сервер socket() -> bind() -> accept(). Нихто непрорвется!

Там писать-то - 15 минут :)

у меня настроено так, что при превышении определённого кол-ва коннектов в период веремени на ssh пост -- банн на IP

делаятся в pf штатными средствами (искать в man'е `max-src-conn-rate')

Если у тебя ssh только для себя можно сделать port knocking.

В FAQ, сукины дети! (c) :)

http://malpaso.ru/lor-faq/#3.12

port knocking не подхотит: я логинюсь с виндовых машин или Маков, и прав админа у меня нет. Флешки тоже нет поэтому автомотизировать процесс логина будет невозможно.

>у меня настроено так, что при превышении определённого кол-ва коннектов в период веремени на ssh пост -- банн на IP

Это на самом деле не интересно. Дело в том что я иногда использую FileZilla для закачки файлов на свою машины с публичных терминалов. И если закачивается много мелких файлов то происходит много мелких коннектов. Интересно так:

порт 22 - сервер пустышка. По iptables если есть 3 коннекта на этот порт (3 на всякий случай - чтоб я себя не забанил часом) IP перманентно блокируется.
порт 1022 - нормальный ssh без прибамбасов и без ограничений.

По той ссылке которую написал Demetrio я взял правила для iptables и немного их переиначил. Получилось вот:

iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -m recent --name radiator --update --seconds 60 --hitcount 3 -j DROP

На практике получилось не совсем то что хотелось: после трех подключений к этому компу на порт 22, подключатель блокируется, но не навсегда а на некоторое время (почему-то минуты на три-пять). Хотя на время тоже не плохо, но навсегда наверно лучше. С другой стороны вот вопрос: если я перезагружу систему, этот список (radiator) обнулится? И если в него будут постоянно писатся адреса то вырастет ли он занимая всю системную память?

Тоже вариант.

> ... И если закачивается много мелких файлов то происходит много мелких коннектов.

это роли не играет -- мониторятся только коннекты на 22й порт

Ну да. А sftp на чем весит?

хм, в Patch-O-Matic есть расширение TARPIT, погугли, прикольная штука :) http://www.nestor.minsk.by/sr/2004/06/40608.html тут немного инфы :)

Интересно. Жаль DD-WRT micro не поддерживает, а то точно бы поставил.

Интересно а если поменять DROP на TARPIT что будет? Типа:

iptables -A INPUT -m recent --name radiator --update --seconds 60 --hitcount 3 -j TARPIT

И самое интересное: что сделает

iptables -A INPUT -p tcp -m tcp -m mport --dports 135,139,1025 -j TARPIT

в сети где полно виндовых машин? Там же вроде самба исчет виндовые шары :) По идее должно все на*** завесить.

Сам потом забудешь и по 22 порту стукнешся, они тебя успешненько зафайрволит и тут-то ты и поедешь на край света поближе к консольке :)

Есть еще такой интересный вариант - knockd

вообщем новость на ЛОРе была недавно

http://www.linux.org.ru/view-message.jsp?msgid=1483000

Поетому и три раза а не один! Да и банит он на 6 минут теперь.

Про knockd слышал.

Имейте совесть. Это должно быть в Security.