URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69146
[ Назад ]

Исходное сообщение
"забанить на время ip-адрес. SSH."
Отправлено seller , 26-Сен-06 11:39

Привет всем.
Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут ввода пароля,...) логина по ssh?
Спасиб.

Содержание

забанить на время ip-адрес. SSH.,dukie, 11:45 , 26-Сен-06
забанить на время ip-адрес. SSH.,NoName, 11:47 , 26-Сен-06
забанить на время ip-адрес. SSH.,seller, 12:18 , 26-Сен-06
- забанить на время ip-адрес. SSH.,Ultimate, 12:23 , 26-Сен-06
  - забанить на время ip-адрес. SSH.,seller, 12:55 , 26-Сен-06
    - забанить на время ip-адрес. SSH.,wawont, 12:46 , 28-Сен-06
      - забанить на время ip-адрес. SSH.,Ultimate, 13:10 , 28-Сен-06
        
        забанить на время ip-адрес. SSH.,Gennadi, 09:41 , 29-Сен-06
забанить на время ip-адрес. SSH.,Hammer, 11:20 , 29-Сен-06
- забанить на время ip-адрес. SSH.,Николай, 18:08 , 14-Май-08

Сообщения в этом обсуждении

"забанить на время ip-адрес. SSH."
Отправлено dukie , 26-Сен-06 11:45

Например http://danger.rulez.sk/projects/bruteforceblocker/

"забанить на время ip-адрес. SSH."
Отправлено NoName , 26-Сен-06 11:47

>Привет всем.
>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>ввода пароля,...) логина по ssh?
>Спасиб.

Смотри hosts.allow hosts.deny
Как вариант
cat /etc/ssh/sshd_config |grep Port
Port 22
Изменить порт на котором работает SSH

MyHomePage - http://surgutnet.ru

"забанить на время ip-адрес. SSH."
Отправлено seller , 26-Сен-06 12:18

>Привет всем.
>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>ввода пароля,...) логина по ssh?
>Спасиб.
Bruteforceblocker работает с pf, а у меня ipfw.
А переброска на другой порт для автоматических долбилок мало чем поможет, не так уж и трудно просканить порты и найти нужный.
В общем, спасибо за подсказки, но у меня пока нет времени возиться с pf и ставить BFB, думал может как-нить проще можно было сделать... Жаль, что такой функционал не реализован в самом sshd, было бы весьма полезно...
Хотя, переставлю sshd на другой порт, как временная мера...

"забанить на время ip-адрес. SSH."
Отправлено Ultimate , 26-Сен-06 12:23

>>Привет всем.
>>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>>ввода пароля,...) логина по ssh?
>>Спасиб.
>
>Bruteforceblocker работает с pf, а у меня ipfw.
>А переброска на другой порт для автоматических долбилок мало чем поможет, не
>так уж и трудно просканить порты и найти нужный.
>В общем, спасибо за подсказки, но у меня пока нет времени возиться
>с pf и ставить BFB, думал может как-нить проще можно было
>сделать... Жаль, что такой функционал не реализован в самом sshd, было
>бы весьма полезно...
>Хотя, переставлю sshd на другой порт, как временная мера...
BruteBlock - работает с ipfw
/usr/ports/security/bruteblock
http://samm.kiev.ua/bruteblock/
DenyHosts - позволяет блокировать на определенный срок
/usr/ports/security/denyhosts
http://denyhosts.sourceforge.net/

"забанить на время ip-адрес. SSH."
Отправлено seller , 26-Сен-06 12:55

>BruteBlock - работает с ipfw
>/usr/ports/security/bruteblock
>http://samm.kiev.ua/bruteblock/
О, это уже ближе к теме...

>DenyHosts - позволяет блокировать на определенный срок
>/usr/ports/security/denyhosts
>http://denyhosts.sourceforge.net/
Тоже поглядим...
Спасибо за наводки.

"забанить на время ip-адрес. SSH."
Отправлено wawont , 28-Сен-06 12:46

А тоже под iptables есть?

"забанить на время ip-адрес. SSH."
Отправлено Ultimate , 28-Сен-06 13:10

>А тоже под iptables есть?
Используйте DenyHosts он работает на основе hosts.allow без ipfw, pf, iptables.

"забанить на время ip-адрес. SSH."
Отправлено Gennadi , 29-Сен-06 09:41

>>А тоже под iptables есть?
http://gennadi.dyn.ee/27.html

"забанить на время ip-адрес. SSH."
Отправлено Hammer , 29-Сен-06 11:20

>Привет всем.
>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>ввода пароля,...) логина по ssh?
>Спасиб.

http://snort.org/dl/

"забанить на время ip-адрес. SSH."
Отправлено Николай , 14-Май-08 18:08

>>Привет всем.
>>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>>ввода пароля,...) логина по ssh?
>>Спасиб.
>
>
>http://snort.org/dl/
на фрях в PF
table <sshbr> permanent
pass in quick proto tcp from any to ($ext_if) established
pass in quick proto tcp from any to ($ext_if) port ssh keep state (max-src-conn 3, max-src-conn-rate 2/60, overload <sshbr> flush)
block in quick proto tcp from <sshbr> to ($ext_if) port ssh probability 75%
в линуксе IPTABLES
iptables -A INPUT -m state --state ESTABLISHED,RECENT -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -m recent --set --name sshbr
iptables -A INPUT -p tcp --dport ssh -m recent --update --name sshbr --seconds 60 --hitcount 2 -j DROP
Не важно правильно или нет введен пароль, после 2 попыток вхождения в минуту и клиент дропается на 1 мин. Для веселой жизни можно не совсем дропать, а частично - у бота идут большие потери траффика, перебор зависает, у бота выход по таймауту не сразу, а через минут 15 судя по логам.
PS. Писал по-памяти, не гарантирую 100% работоспособности листинга, если что уточните в мауале