URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4478
[ Назад ]

Исходное сообщение
"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено BANDiT600 , 15-Янв-10 14:52

Здравствуйте всем! Извините, если данная тема поднималась, но я так сказать начинающий администратор, который тянется к знаниям, которых, к сожалению, пока очень мало, поэтому даже поиском по форуму не могу воспользоваться, так как не в курсе по каким словосочетаниям производить его.
А вопрос в следующем. Есть сервер на FreeBSD, есть на нем ipfw, уже как месяца два идет брутфорс по шеллу и по ФТП. В sshd с помощью AllowUsers уточнил пользователя и наш IP, с которого разрешен доступ. Но хотелось бы большего. Хочу забанить все IP адреса, кроме своего, чтобы никто не смог коннектиться к shell'у. Помогите разобраться. Заранее выражаю благодарности!

Содержание

Бан всех IP, кроме своего при подключении к shell'у,XOKA, 15:19 , 15-Янв-10
- Бан всех IP, кроме своего при подключении к shell'у,BANDiT600, 15:23 , 15-Янв-10
  - Бан всех IP, кроме своего при подключении к shell'у,XOKA, 16:01 , 15-Янв-10
    - Бан всех IP, кроме своего при подключении к shell'у,BANDiT600, 16:05 , 15-Янв-10
      - Бан всех IP, кроме своего при подключении к shell'у,rakis, 16:40 , 15-Янв-10
        
        Бан всех IP, кроме своего при подключении к shell'у,BANDiT600, 16:49 , 15-Янв-10
        
        Бан всех IP, кроме своего при подключении к shell'у,Pahanivo, 17:46 , 15-Янв-10
        Бан всех IP, кроме своего при подключении к shell'у,vg, 13:32 , 16-Янв-10
        Бан всех IP, кроме своего при подключении к shell'у,rakis, 21:00 , 18-Янв-10
Бан всех IP, кроме своего при подключении к shell'у,BANDiT600, 00:28 , 19-Янв-10
- Бан всех IP, кроме своего при подключении к shell'у,Артур, 04:14 , 20-Янв-10
  - Бан всех IP, кроме своего при подключении к shell'у,Vitaliyc, 12:40 , 20-Янв-10

Сообщения в этом обсуждении

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено XOKA , 15-Янв-10 15:19

ipfw add 10 allow ip from ***.***.***.*** to me ssh
ipfw add 20 deny ip from any to me ssh

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено BANDiT600 , 15-Янв-10 15:23

>ipfw add 10 allow ip from ***.***.***.*** to me ssh
>ipfw add 20 deny ip from any to me ssh
Спасибо большое. А в каком файле это прописывать?

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено XOKA , 15-Янв-10 16:01

>Спасибо большое. А в каком файле это прописывать?
Это в консоле. Но это до перезагрузки.
Читайте про ipfw - разберетесь.

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено BANDiT600 , 15-Янв-10 16:05

>Это в консоле. Но это до перезагрузки.
>Читайте про ipfw - разберетесь.
Спасибо большое, будем разбираться!

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено rakis , 15-Янв-10 16:40

>Спасибо большое, будем разбираться!
2 способа против перебора SSH паролей (можно использовать по отдельности):
1) Аутентификация по ключам. перебирать пароли можно до бесконечности
2) Перенести SSHD на другой порт

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено BANDiT600 , 15-Янв-10 16:49

Да, по поводу переноса на другой порт читал, но легко вычислить перебором порта. Проще, как мне кажется блокировать IP, и оставить доступ только своему IP. А вот про ключи сейчас почитаю, спасибо.

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено Pahanivo , 15-Янв-10 17:46

>Да, по поводу переноса на другой порт читал, но легко вычислить перебором
>порта. Проще, как мне кажется блокировать IP, и оставить доступ только
>своему IP. А вот про ключи сейчас почитаю, спасибо.
посмотри sshit

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено vg , 16-Янв-10 13:32

>Да, по поводу переноса на другой порт читал, но легко вычислить перебором
>порта.
легко, но спасает от простых атак. только если кому-то очень надо начнет перебирать порты

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено rakis , 18-Янв-10 21:00

>Да, по поводу переноса на другой порт читал,
> но легко вычислить перебором порта.
перебором в основном занимаются роботы/боты/черви, живые люди это делают очень редко (ну, если только кому-то нужен именно Ваш сервер)
+, никто не мешает комбинировать перенос демона на др порт и использование ключей

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено BANDiT600 , 19-Янв-10 00:28

>[оверквотинг удален]
>администратор, который тянется к знаниям, которых, к сожалению, пока очень мало,
>поэтому даже поиском по форуму не могу воспользоваться, так как не
>в курсе по каким словосочетаниям производить его.
>
>А вопрос в следующем. Есть сервер на FreeBSD, есть на нем ipfw,
>уже как месяца два идет брутфорс по шеллу и по ФТП.
>В sshd с помощью AllowUsers уточнил пользователя и наш IP, с
>которого разрешен доступ. Но хотелось бы большего. Хочу забанить все IP
>адреса, кроме своего, чтобы никто не смог коннектиться к shell'у.
>Помогите разобраться. Заранее выражаю благодарности!
В общем пока что просто посадил shell на пятизначный порт и настройках sshd указал AllowUsers some_user@***.***.***.***
Думаю, что этого для начала достаточно.

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено Артур , 20-Янв-10 04:14

сам использовал долгое время security/denyhosts -- пасет в messages и добавляет хосты в /etc/hosts.evil по мудреным правилам, кажется по дефолту через 3 раза отдыхали 10 минут, через 10 раз существенно подольше. говорят умеет не только ssh.
после замены сервера просто прыгнул на верхний порт, с тех пор в логах ни одной страшилки не наблюдалось. пароль на стероидах :]

"Бан всех IP, кроме своего при подключении к shell'у"
Отправлено Vitaliyc , 20-Янв-10 12:40

bruteblock - вам поможет. мониторит неправильные попытки авторизации и вкидывает правило в файрвол(время блокировки и количество попыток настраивается), все элементарно.
по SSH: MaxStartups 5:50:10