В последнее время очень часто в логах видится усиленная долбежка моего ssh на предмет подбора паролей. В связи с этим хотел спросить помощи. Суть - по ssh я вхожу только с одного определенного логина, к примеру admin. Хочу - придумать скрипт, чтоб на всех тех, кто пытается подобрать root и прочие левые аккаунты сразу заводился отлуп в ipfw.
Тоесть зашли не под тем именем и сразу в ipfw add deny...Как бы это сделать?
напиши анализатор для логов perl думаю подойдет
и пропиши в нем правила для ipfw
>В последнее время очень часто в логах видится усиленная долбежка моего
>Как бы это сделать?А заходишь как, через локалку или через инет.
Если через локалку то в ipfw add deny from any to any 22 via (внешний интерфес)
>>В последнее время очень часто в логах видится усиленная долбежка моего
>>Как бы это сделать?
>
>А заходишь как, через локалку или через инет.
>Если через локалку то в ipfw add deny from any to any
>22 via (внешний интерфес)Да если б только через локалку, вопросов не было бы. Захожу с диалапа, ip постоянно разные.
>>>В последнее время очень часто в логах видится усиленная долбежка моего
>>>Как бы это сделать?
>>
>>А заходишь как, через локалку или через инет.
>>Если через локалку то в ipfw add deny from any to any
>>22 via (внешний интерфес)
>
>Да если б только через локалку, вопросов не было бы. Захожу с
>диалапа, ip постоянно разные.
Укажи диапазон IP с которых входить можно
>>>>В последнее время очень часто в логах видится усиленная долбежка моего
>>>>Как бы это сделать?
>>>
>>>А заходишь как, через локалку или через инет.
>>>Если через локалку то в ipfw add deny from any to any
>>>22 via (внешний интерфес)
>>
>>Да если б только через локалку, вопросов не было бы. Захожу с
>>диалапа, ip постоянно разные.
>
>
>Укажи диапазон IP с которых входить можноЧем ограничиться? Может сразу всю Россию? И как вообще это вы себе представляете? Я могу зайти с одного из двух-трех тысяч ip одного прова, могу с другого, а могу вообще произвольно если надо будет по-быстрому влезть к себе в сеть.
запрети root'у локальный вход вообще - и пусть долбят до посинения, сам входи через суидный логин и потом становись рутом через su
>запрети root'у локальный вход вообще - и пусть долбят до посинения, сам
>входи через суидный логин и потом становись рутом через suЧто, на эту тему стоит флаг глупых ответов?
Я не пользуюсь рутом, не идиот, но те, кто мне туда долбят совсем не нравятся и напрочь не нужны.
>>запрети root'у локальный вход вообще - и пусть долбят до посинения, сам
>>входи через суидный логин и потом становись рутом через su
>
>Что, на эту тему стоит флаг глупых ответов?
>Я не пользуюсь рутом, не идиот, но те, кто мне туда долбят
>совсем не нравятся и напрочь не нужны.А ты отписывай всем следящим за сетями, может и меньше станут долбиться, лет через 200. Если не хочешь чтоб долбились - отключайся от инета
а ssh только тобой используется?
можно включать его только тогда когда он те нужен(неоспоримая логика:)) заведи нового пользователя в системе, при входе которого в систему включается sshd(назначь ему шеллом /etc/rc.d/sshd_start_script)
>а ssh только тобой используется?
>можно включать его только тогда когда он те нужен(неоспоримая логика:)) заведи нового
>пользователя в системе, при входе которого в систему включается sshd(назначь ему
>шеллом /etc/rc.d/sshd_start_script)
а запретить всем кроме своей учетной записи вход не пробовал?
ну и меняй пароль раз в три дня/часа!
может и глупо конечно, но...
файл /etc/ssh/sshd_configдобавь в него строчку AllowUsers my_name
в my_name твоя запись на вход
>>а ssh только тобой используется?
>>можно включать его только тогда когда он те нужен(неоспоримая логика:)) заведи нового
>>пользователя в системе, при входе которого в систему включается sshd(назначь ему
>>шеллом /etc/rc.d/sshd_start_script)
>а запретить всем кроме своей учетной записи вход не пробовал?
>ну и меняй пароль раз в три дня/часа!
>может и глупо конечно, но...
>файл /etc/ssh/sshd_config
>
>добавь в него строчку AllowUsers my_name
>
>в my_name твоя запись на входДа нет никаких других пользователей, только мой вход и все. Яж говорю, надоели целые рулоны логов, где всякие уроды пытаются подобрать пароль к левым входам. Понятное дело фиг что у них выйдет, просто канал у меня чахлый и таких экстремалов сразу хотелось бы пускать в отлуп на файрволе.
За день таких подборов может быть штук 5-6 с разных ip, а вот простыней логов - шквал.
>Да нет никаких других пользователей, только мой вход и все. Яж говорю,
>надоели целые рулоны логов, где всякие уроды пытаются подобрать пароль к
>левым входам. Понятное дело фиг что у них выйдет, просто канал
>у меня чахлый и таких экстремалов сразу хотелось бы пускать в
>отлуп на файрволе.
>За день таких подборов может быть штук 5-6 с разных ip, а
>вот простыней логов - шквал.Да никак это не сделать на твоей стороне.
Только на стороне провайдера.
Ты никак не ограничишь канал неудачных соединений.
Как вариант - portsentry
>Да нет никаких других пользователей, только мой вход и все. Яж говорю,
>надоели целые рулоны логов, где всякие уроды пытаются подобрать пароль к
>левым входам. Понятное дело фиг что у них выйдет, просто канал
>у меня чахлый и таких экстремалов сразу хотелось бы пускать в
>отлуп на файрволе.
>За день таких подборов может быть штук 5-6 с разных ip, а
>вот простыней логов - шквал.Да никак это не сделать на твоей стороне.
Только на стороне провайдера.
Ты никак не ограничишь канал неудачных соединений.
Как вариант - portsentry. А демона поставь работать на нестандартный порт.
Тогда и 22 порт сразу в /dev/null перенаправляй.:)
что-то на эту тему:MaxStartups 5:50:10
# после 5 неправильных регистраций,
# отторгать 50% новых подключений, и
# не отвечать совсем, если число
# неправильных регистраций превысило 10
сам не пробовал... :)
>что-то на эту тему:
>
>MaxStartups 5:50:10
>
> # после 5 неправильных регистраций,
> # отторгать 50% новых подключений, и
> # не отвечать совсем, если число
> # неправильных регистраций превысило 10
>
>
>сам не пробовал... :)Я бы тоже не решился :)))
Хотя честно говоря банальная смена порта с 22 на сильно больший решила проблему... Ломиться перестали, точнее говоря ломиться больше не на что :)
>Я бы тоже не решился :)))
>Хотя честно говоря банальная смена порта с 22 на сильно больший решила
>проблему... Ломиться перестали, точнее говоря ломиться больше не на что :)
>
А еще я бы Вам посоветовал сменить политику логина на via-private/public key. И запретить в таком случае вообще интерактивный логин (ведь Вас не слишком покоробит необходимость носить с собой приватный ключ на флешке на случай необходимости зайти на шлюз с компа друга?).
>В последнее время очень часто в логах видится усиленная долбежка моего ssh
>на предмет подбора паролей. В связи с этим хотел спросить помощи.
>Суть - по ssh я вхожу только с одного определенного логина,
>к примеру admin. Хочу - придумать скрипт, чтоб на всех тех,
>кто пытается подобрать root и прочие левые аккаунты сразу заводился отлуп
>в ipfw.
>Тоесть зашли не под тем именем и сразу в ipfw add deny...
>
>
>Как бы это сделать?на своей Фряхе я сделал конфиг /etc/ssh/sshd_config
RSAAuthentication yes
PermitRootLogin yes
PermitEmptyPasswords yes
PasswordAuthentication yes
AllowGroups wheel
AllowUsers _superuser_а еще лучше повесить ssh на нестандартный порт...